Перейти к содержанию

Помогите избавиться от MEM:Trojan.Win32.Cometer.gen


Рекомендуемые сообщения

Помогите вычистить заразу MEM:Trojan.Win32.Cometer.gen. KIS и KVRT не справляются.

1. Прошелся свежим KVRT.

2. После перезагрузки запустил AutoLogger (приложено).

 

CollectionLog-2021.06.25-16.19.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2021/06/11) - {841c88ea-ab66-4c59-ad51-8e99fadbf925} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) Восстановление сервиса обновлений Яндекс.Браузера.job - (no file)
O22 - Task (.job): (disabled) Системное обновление Браузера Яндекс.job - (no file)

Знакома ли вам следующая служба?

 

O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.


 

 

Ссылка на сообщение
Поделиться на другие сайты
Цитата


O23 - Service S3: QushSvc: Qush - (Qush) - C:\UCS\RKCloud_BarRak\SH5Client\Client\QUSH\SVC\QushSvc.exe /port:8087

Это служебный клиент перекидывает данные из одной базы в другую.

 

Цитата

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксил.

KIS выдает новую вирусную запись: MEM:Trojan.Win32.SEPEH.gen

После перезагрузки KIS лечит, через некоторое время снова находит его в системной памяти.

Изменено пользователем Sudar
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    CloseProcesses:
    File: D:\RK7\Rk7Manager_BIKO_SMR\rk7man.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Slava\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {1208F465-41A5-49D9-B0B1-4A5319D60DAC} - \GoogleUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {1C5C2D73-8FCB-4D6D-BF05-0524FAFF152C} - \MicrosoftEdgeUpdateTaskMachineCore -> Нет файла <==== ВНИМАНИЕ
    Task: {4FAA2443-599B-4FFD-A10A-A420446A319F} - \BjZKvdApgKcT -> Нет файла <==== ВНИМАНИЕ
    Task: {615162C7-4A70-43AD-A447-4DF91A57DECB} - \csrss -> Нет файла <==== ВНИМАНИЕ
    Task: {79D2CC23-3F54-4856-ABC8-A518B0E2690E} - \GoogleUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    Task: {9BB72ECC-2ABC-4B4B-952F-C0AFEE4453DA} - \MicrosoftEdgeUpdateTaskMachineUA -> Нет файла <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
    REG: reg query "HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv" /s
    File: C:\Windows\SysWOW64\rttranscrypt.dll
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{658AC80A-178A-4BCD-89CB-8BDF7CE87CDC}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{BB0B1327-7407-43AC-9775-AA84E582DD63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{04A124B1-B770-4CCE-BEDE-E26F3FCD8DD1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{4820E56F-86C2-4F03-9F65-66CEE5A875C5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{DFCD9B6F-8ABB-4734-9B2B-011ADDB98FD3}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe => Нет файла
    FirewallRules: [{69FF2B8F-EDF8-4084-B99E-4747DAAB8F6B}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageHomeService.exe => Нет файла
    FirewallRules: [{2DE7552E-A131-4D5D-A057-31775D2B4FC7}] => (Block) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageLauncher.exe => Нет файла
    FirewallRules: [TCP Query User{2337231F-A80F-4A35-A71E-4B5D409A98ED}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    FirewallRules: [UDP Query User{0D75702F-93A2-4030-A96D-C95ACF0541C8}C:\users\slava\downloads\winbox64.exe] => (Allow) C:\users\slava\downloads\winbox64.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта запустил TDSKiller - нашел объект. Выполнил удаление с перезагрузкой.

После перезагрузки выполнил проверку ещё раз -  объектов не обнаружено.

Fixlog.txt TDSSKiller.3.1.0.28_30.06.2021_10.10.28_log.txt TDSSKiller.3.1.0.28_30.06.2021_10.31.31_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Похоже был руткит.

10:25:36.0900 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms7E5CFE6CApp - will be deleted on reboot
10:25:36.0901 0x175c  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms7E5CFE6CApp - will be deleted on reboot
10:25:37.0006 0x175c  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - will be cured on reboot
10:25:37.0067 0x175c  C:\Windows\System32\Ms7E5CFE6CApp.dll - will be deleted on reboot

Могли бы приложить новые логи FRST.

Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Folder: C:\ProgramData\SecTaskMan
    CMD: Type C:\ProgramData\c
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7E5CFE6C.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\5c7940d0.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72611631.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7E5CFE6C.sys => ""="Driver"
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Сообщите, что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующей информацией:
 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.8.3.1.21155 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
Total Commander 6.03a v.6.03a Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.3.0.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.2.6 Basic v.13.2.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

На этом всё!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip
    • От Ense
      Здравствуйте, вот такая проблема и все файлы так зашифрованый, буду очень благодарен! После формата еще есть вот это [LoganParker@techmail.info].[F3FCECB1-4EEB888E]
      Декларация БЗ.pdf
    • От zealour
      Добрый день.
      В течение рабочей недели рабочий ноутбук начал подозрительно себя вести. Появились характерные подвисания при выполнении некоторых операций (переключение окна приложений, вызов контекстного меню, подвисания где-то на минуту, потом отвисает). Сначала не предавал значения, но в какой-то момент посмотрел лог активности bit defender (корпоративный) и там куча сообений Antimalware о том, что остановлена подозрительная активность с текстом:
      On-Access scanning has detected a threat. No configured actions could be taken, but access to the file has been denied. C:\Windows\Temp\tmp0000018d\tmp00001ffb is malware of type Trojan.GenericKD.35060610
      On-Access scanning has detected a threat. Access to the file has been denied. \Device\HarddiskVolume3\WINDOWS\TEMP\tmp0000018d\tmp00001ff7 is malware of type Trojan.GenericKD.35060610
      согласно логу, первые подобные события были аж 9 июня, хотя по памяти - непомню, чтобы было такого подвисания, как сейчас.
      Выполнение проверки на вирусы нашло и нейтрализовало кучу подобных файлов (как выше), но они продолжают появляться и подвисания тоже остались.
       
      С уважением, Леонид.
       
      CollectionLog-2021.07.11-04.31.zip
    • От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
×
×
  • Создать...