Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Прошу помощи в борьбе с мелкой гадюкой. Использовал все известные мне утилиты, кроме KVRT, ничего его не видит. 

Использовал: Dr.Web ceruit, AdwCleaner, RogueKillir. Ничего не помогает. Касперский удаляет данный троян, перезагрузка, опять он тут как тут. Постаянно создается папка PuzzleMedia по пути C:\ProgramData\PuzzleMedia. В этой папке через раз обнаруживается троян с HEUR:Trojan.Win64.Miner.gen. Прошу помощи!

CollectionLog-2021.07.08-02.21.zip

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJackThis из папки Autologger

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 37.1.207.126
O22 - Task: Driver Booster SkipUAC (Frosty) - C:\Program Files (x86)\IObit\Driver Booster\7.0.2\DriverBooster.exe /skipuac (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
FirewallRules: [{027E7709-FA31-4ED4-BBF4-B17A294EFA90}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{BE1312E1-D421-41EB-A0C9-460FC6DD4B1D}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{C77592B8-A857-4406-9420-4590E0C2F16D}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{1CB6F712-1431-4114-BBC7-17998EE2AD17}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{A03C9ED2-A81E-4E23-AA96-0936EEE61F2D}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{483D0963-DEB6-4763-A1F8-788536EA4688}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{0F8C44AE-0EC5-42A0-97CC-F5E5B1E4A100}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{8780EAEB-3E27-44EF-ABEC-BC4CDBB6F247}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{25D85247-5370-46E1-955F-161F6F5168A2}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2d5VVZpHKim9X_o122TlZ19s0TAmbgZza3oXJorKCHZRXETfGfY47bGSZplV5MSFQCb3eF4esMPDtDJX8iyAYiD0HM0GbGC04WCv4gOuzJk3mSB0TUm6i1QrKV4xITw4M84MHCLHpZPTMHe
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.istartsurf.com/?type=hp&ts=1434285405&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=face&uid=ST9750420AS_5WS0LB1LXXXX5WS0LB1L","hxxp://yandex.ru/?clid=2101081","hxxp://www.istartsurf.com/?type=hp&ts=1447876072&z=048021583d92227b856d9c8g5z3z6m2b4mfw1m3qfq&from=face&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.istartpageing.com/?type=hp&ts=1447937966&z=f36802772023cfaff7565e1g1z1z7matfc5metcq2z&from=cmi&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.yoursites123.com/?type=hp&ts=1449665494&z=78d872718bfa756bd502a87gdz9zftbq7qbw8z0t5g&from=ient07021&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://mail.ru/cnt/10445?gp=834410","hxxp://googla.com.ua/q","hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Frosty\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2021-07-08 01:56 - 2021-07-08 01:56 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-06-26 16:41 - 2021-07-07 18:56 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-06-26 16:40 - 2021-07-08 13:28 - 000000000 ____D C:\Program Files (x86)\Transmission
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 08.07.2021 21:34:05
Path starting: C:\Users\Frosty\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Frosty
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19041) (x64) Professional Версия: 2004 Lang: Russian(0419)
Дата установки ОС: 11.11.2020 00:23:17
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 253202 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [111.3 Гб] Занято: [70.6 Гб] Свободно: [40.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
RogueKiller version 15.0.6.0 v.15.0.6.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
Microsoft OneDrive v.21.109.0530.0001
Notepad++ (32-bit x86) v.7.8.9 Внимание! Скачать обновления
Steam v.2.10.91.91
Epic Games Launcher v.1.1.267.0
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2123.8
Telegram Desktop version 2.8.4 v.2.8.4
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46010 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\MsMpEng.exe v.4.18.2105.5
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\NisSrv.exe v.4.18.2105.5
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

Ссылка на сообщение
Поделиться на другие сайты

Установите обновления указанных программ, обратите внимание на секцию UnwantedApps.

 

Лечение будем считать оконченным.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip
    • От Ense
      Здравствуйте, вот такая проблема и все файлы так зашифрованый, буду очень благодарен! После формата еще есть вот это [LoganParker@techmail.info].[F3FCECB1-4EEB888E]
      Декларация БЗ.pdf
    • От zealour
      Добрый день.
      В течение рабочей недели рабочий ноутбук начал подозрительно себя вести. Появились характерные подвисания при выполнении некоторых операций (переключение окна приложений, вызов контекстного меню, подвисания где-то на минуту, потом отвисает). Сначала не предавал значения, но в какой-то момент посмотрел лог активности bit defender (корпоративный) и там куча сообений Antimalware о том, что остановлена подозрительная активность с текстом:
      On-Access scanning has detected a threat. No configured actions could be taken, but access to the file has been denied. C:\Windows\Temp\tmp0000018d\tmp00001ffb is malware of type Trojan.GenericKD.35060610
      On-Access scanning has detected a threat. Access to the file has been denied. \Device\HarddiskVolume3\WINDOWS\TEMP\tmp0000018d\tmp00001ff7 is malware of type Trojan.GenericKD.35060610
      согласно логу, первые подобные события были аж 9 июня, хотя по памяти - непомню, чтобы было такого подвисания, как сейчас.
      Выполнение проверки на вирусы нашло и нейтрализовало кучу подобных файлов (как выше), но они продолжают появляться и подвисания тоже остались.
       
      С уважением, Леонид.
       
      CollectionLog-2021.07.11-04.31.zip
    • От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
×
×
  • Создать...