Перейти к содержанию
Правила раздела

Троян Trojan.Multi.DNSChanger в System Memory не лечится

Константин Васьковский

Автор Константин Васьковский
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Константин Васьковский

Константин Васьковский

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger в System Memory. Стоит KIS 21 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, комп перезапускается и все по новой - опять тот же троян в System Memory

Лог

CollectionLog-2021.07.30-14.59.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): 

O17 - DHCP DNS 3: 37.10.116.202
O17 - DHCP DNS 4: 212.122.1.2

 

В перечне установленных программ видны Kaspersky Free и Kaspersky Internet Security. Причем, в логах видны следы еще 18 версии.

Деинсталлируйте все стандартно, затем в безопасном режиме пройдитесь утилитой.

Скачайте актуальную версию и установите.

 

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь? Если да, временно деинсталлируйте.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте. отчеты Farbar Recovery Scan Tool

FRST.txt Addition.txt

Trojan.Multi.DNSChanger опять появился, делал все по инструкции

Trojan.Multi.DNSChanger.а

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
30.07.2021 в 08:54, Sandor сказал:

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь?

Не ответили.

Ага, вижу, что удалили.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {546e2c05-127b-11ea-8441-902b34322521} - "E:\start.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {5ea86468-38b0-11e9-8421-902b34322521} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {92561aa4-ad8c-11ea-8455-902b34322521} - "E:\start.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{4be9f71e-dc9e-4168-84ae-74c83705f729}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [NameServer] 192.168.0.254,192.168.0.211,37.10.116.202,212.122.1.2,8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Task: {B6DB1D7A-ACF6-418A-AB0B-1F05B417C4D7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Moo0\VideoCutter 1.17\VideoCutter.exe
FirewallRules: [{B5DED08B-B3EA-4E92-9284-F64695AE625F}] => (Allow) LPort=2869
FirewallRules: [{9869C56D-F8F7-4DF7-846E-41DD952394D7}] => (Allow) LPort=1900
FirewallRules: [{92744F5F-DAA8-4AE7-BD58-F6724E5666C0}] => (Allow) LPort=1542
FirewallRules: [{DF044475-B528-4C16-81EF-C245CBA699D0}] => (Allow) LPort=1542
FirewallRules: [{9D9A1434-5656-42B4-9736-B7F56128D045}] => (Allow) LPort=53
FirewallRules: [{A7CE17CD-8218-4D6B-A0CB-41D6BCD6B85E}] => (Allow) LPort=1688
FirewallRules: [{4981F041-9BBC-4BE6-8DAB-076E2D792C2E}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте, пожалуйста, uVS отсюда.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 39
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите ещё раз образ автозапуска uVS этой версией. AutorunsVTchecker уже запускать не нужно.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
setdns DNS Server list\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
setdns Беспроводная сеть\4\{E1615FDD-1671-4C3E-B8F6-975B753D41FF}\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
apply

regt 40
deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите еще один контрольный образ автозапуска uVS.

Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Хорошо

Спасибо

Trojan.Multi.DNSChanger.a   находит касперский

скрин рабочий стол.jpg

Перезагрузил с лечение, вроде не появляется, но интернет все равно долго думает

скрин рабочий стол.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
3 часа назад, Константин Васьковский сказал:

Trojan.Multi.DNSChanger.a   находит касперский

Обратите внимание, это происходит только когда запущен браузер? Если да, какой именно? Проверьте и Chrome и FireFox.

 

Попутно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте троян вылазит после подключения к 1С и после запуска любого браузера.

Отчеты сделал SecurityCheck by glax24 & Severnyj , один без запуска браузеров второй с запуском

третий с браузерами и 1с

Скрины во вложении

скрин каспера.jpg

скрин c CHROME.jpg

скрин с Firefox.jpg

скрин без браузеров.jpg

после подключения к 1с.png

SecurityCheck.txt SecurityCheck1.txt SecurityCheck2.txt

По истечении 10-15 минут опять вылазит троян, ничего не запускал

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...