[РЕШЕНО] Trojan.multi.genautoruntask.c в system memory

[Химик]

Добрый день! Прошу помощи в борьбе с мелкой гадюкой. Использовал все известные мне утилиты, кроме KVRT, ничего его не видит. 

Использовал: Dr.Web ceruit, AdwCleaner, RogueKillir. Ничего не помогает. Касперский удаляет данный троян, перезагрузка, опять он тут как тут. Постаянно создается папка PuzzleMedia по пути C:\ProgramData\PuzzleMedia. В этой папке через раз обнаруживается троян с HEUR:Trojan.Win64.Miner.gen. Прошу помощи!

CollectionLog-2021.07.08-02.21.zip

FRST.txt Addition.txt

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJackThis из папки Autologger

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 37.1.207.126
O22 - Task: Driver Booster SkipUAC (Frosty) - C:\Program Files (x86)\IObit\Driver Booster\7.0.2\DriverBooster.exe /skipuac (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Химик]

CollectionLog-2021.07.08-13.42.zip

[thyrex]

Удалите старые файлы FRST.txt и Addtion.txt и сделайте новые логи Farbar

[Химик]

9 минут назад, thyrex сказал:

Удалите старые файлы FRST.txt и Addtion.txt и сделайте новые логи Farbar

Сделано

Addition.txtFRST.txt

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
FirewallRules: [{027E7709-FA31-4ED4-BBF4-B17A294EFA90}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{BE1312E1-D421-41EB-A0C9-460FC6DD4B1D}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{C77592B8-A857-4406-9420-4590E0C2F16D}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{1CB6F712-1431-4114-BBC7-17998EE2AD17}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{A03C9ED2-A81E-4E23-AA96-0936EEE61F2D}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{483D0963-DEB6-4763-A1F8-788536EA4688}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{0F8C44AE-0EC5-42A0-97CC-F5E5B1E4A100}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{8780EAEB-3E27-44EF-ABEC-BC4CDBB6F247}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{25D85247-5370-46E1-955F-161F6F5168A2}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2d5VVZpHKim9X_o122TlZ19s0TAmbgZza3oXJorKCHZRXETfGfY47bGSZplV5MSFQCb3eF4esMPDtDJX8iyAYiD0HM0GbGC04WCv4gOuzJk3mSB0TUm6i1QrKV4xITw4M84MHCLHpZPTMHe
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.istartsurf.com/?type=hp&ts=1434285405&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=face&uid=ST9750420AS_5WS0LB1LXXXX5WS0LB1L","hxxp://yandex.ru/?clid=2101081","hxxp://www.istartsurf.com/?type=hp&ts=1447876072&z=048021583d92227b856d9c8g5z3z6m2b4mfw1m3qfq&from=face&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.istartpageing.com/?type=hp&ts=1447937966&z=f36802772023cfaff7565e1g1z1z7matfc5metcq2z&from=cmi&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.yoursites123.com/?type=hp&ts=1449665494&z=78d872718bfa756bd502a87gdz9zftbq7qbw8z0t5g&from=ient07021&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://mail.ru/cnt/10445?gp=834410","hxxp://googla.com.ua/q","hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Frosty\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2021-07-08 01:56 - 2021-07-08 01:56 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-06-26 16:41 - 2021-07-07 18:56 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-06-26 16:40 - 2021-07-08 13:28 - 000000000 ____D C:\Program Files (x86)\Transmission
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Химик]

Fixlog.txt

[thyrex]

Проблема решена?

[Химик]

Вроде да! огромное спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Химик]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 08.07.2021 21:34:05
Path starting: C:\Users\Frosty\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Frosty
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19041) (x64) Professional Версия: 2004 Lang: Russian(0419)
Дата установки ОС: 11.11.2020 00:23:17
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 253202 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [111.3 Гб] Занято: [70.6 Гб] Свободно: [40.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
RogueKiller version 15.0.6.0 v.15.0.6.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
Microsoft OneDrive v.21.109.0530.0001
Notepad++ (32-bit x86) v.7.8.9 Внимание! Скачать обновления
Steam v.2.10.91.91
Epic Games Launcher v.1.1.267.0
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2123.8
Telegram Desktop version 2.8.4 v.2.8.4
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46010 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\MsMpEng.exe v.4.18.2105.5
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\NisSrv.exe v.4.18.2105.5
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Установите обновления указанных программ, обратите внимание на секцию UnwantedApps.

 

Лечение будем считать оконченным.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".