Троян Trojan.Multi.DNSChanger в System Memory не лечится

[Константин Васьковский]

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger в System Memory. Стоит KIS 21 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, комп перезапускается и все по новой - опять тот же троян в System Memory

Лог

CollectionLog-2021.07.30-14.59.zip

[Sandor]

Здравствуйте!

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 3: 37.10.116.202
O17 - DHCP DNS 4: 212.122.1.2

 

В перечне установленных программ видны Kaspersky Free и Kaspersky Internet Security. Причем, в логах видны следы еще 18 версии.

Деинсталлируйте все стандартно, затем в безопасном режиме пройдитесь утилитой.

Скачайте актуальную версию и установите.

 

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь? Если да, временно деинсталлируйте.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Константин Васьковский]

Здравствуйте. отчеты Farbar Recovery Scan Tool

FRST.txt Addition.txt

Trojan.Multi.DNSChanger опять появился, делал все по инструкции

Trojan.Multi.DNSChanger.а

[Sandor]

30.07.2021 в 08:54, Sandor сказал:

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь?

Не ответили.

Ага, вижу, что удалили.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {546e2c05-127b-11ea-8441-902b34322521} - "E:\start.exe" 
  HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {5ea86468-38b0-11e9-8421-902b34322521} - "E:\HTC_Sync_Manager_PC.exe" 
  HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {92561aa4-ad8c-11ea-8455-902b34322521} - "E:\start.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
  Tcpip\..\Interfaces\{4be9f71e-dc9e-4168-84ae-74c83705f729}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
  Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [NameServer] 192.168.0.254,192.168.0.211,37.10.116.202,212.122.1.2,8.8.8.8,208.67.222.222
  Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Task: {B6DB1D7A-ACF6-418A-AB0B-1F05B417C4D7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Moo0\VideoCutter 1.17\VideoCutter.exe
  FirewallRules: [{B5DED08B-B3EA-4E92-9284-F64695AE625F}] => (Allow) LPort=2869
  FirewallRules: [{9869C56D-F8F7-4DF7-846E-41DD952394D7}] => (Allow) LPort=1900
  FirewallRules: [{92744F5F-DAA8-4AE7-BD58-F6724E5666C0}] => (Allow) LPort=1542
  FirewallRules: [{DF044475-B528-4C16-81EF-C245CBA699D0}] => (Allow) LPort=1542
  FirewallRules: [{9D9A1434-5656-42B4-9736-B7F56128D045}] => (Allow) LPort=53
  FirewallRules: [{A7CE17CD-8218-4D6B-A0CB-41D6BCD6B85E}] => (Allow) LPort=1688
  FirewallRules: [{4981F041-9BBC-4BE6-8DAB-076E2D792C2E}] => (Allow) LPort=1688
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Константин Васьковский]

Здравствуйте.

Fixlog.txt

Trojan.Multi.DNSChanger.b  сейчас находит касперский

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Константин Васьковский]

Здравствуйте. Скачал, про сканировал, образ прикрепил

KOSTYA_2021-08-03_09-33-40_v4.11.6.7z

[Sandor]

Скачайте, пожалуйста, uVS отсюда.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   regt 39
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите ещё раз образ автозапуска uVS этой версией. AutorunsVTchecker уже запускать не нужно.

[Константин Васьковский]

Сделал

KOSTYA_2021-08-03_16-25-54_v4.11.7.7z

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   setdns DNS Server list\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
   setdns Беспроводная сеть\4\{E1615FDD-1671-4C3E-B8F6-975B753D41FF}\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
   apply
   
   regt 40
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите еще один контрольный образ автозапуска uVS.

[Константин Васьковский]

Сделал

KOSTYA_2021-08-03_16-56-12_v4.11.7.7z

[Sandor]

Последите некоторое время и сообщите результат.

[Константин Васьковский]

Хорошо

Спасибо

Trojan.Multi.DNSChanger.a   находит касперский

Перезагрузил с лечение, вроде не появляется, но интернет все равно долго думает

[Sandor]

3 часа назад, Константин Васьковский сказал:

Trojan.Multi.DNSChanger.a   находит касперский

Обратите внимание, это происходит только когда запущен браузер? Если да, какой именно? Проверьте и Chrome и FireFox.

 

Попутно:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Константин Васьковский]

Здравствуйте троян вылазит после подключения к 1С и после запуска любого браузера.

Отчеты сделал SecurityCheck by glax24 & Severnyj , один без запуска браузеров второй с запуском

третий с браузерами и 1с

Скрины во вложении

SecurityCheck.txt SecurityCheck1.txt SecurityCheck2.txt

По истечении 10-15 минут опять вылазит троян, ничего не запускал