Перейти к содержанию

Троян Trojan.Multi.DNSChanger в System Memory не лечится


Рекомендуемые сообщения

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger в System Memory. Стоит KIS 21 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, комп перезапускается и все по новой - опять тот же троян в System Memory

Лог

CollectionLog-2021.07.30-14.59.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 3: 37.10.116.202
O17 - DHCP DNS 4: 212.122.1.2

 

В перечне установленных программ видны Kaspersky Free и Kaspersky Internet Security. Причем, в логах видны следы еще 18 версии.

Деинсталлируйте все стандартно, затем в безопасном режиме пройдитесь утилитой.

Скачайте актуальную версию и установите.

 

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь? Если да, временно деинсталлируйте.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. отчеты Farbar Recovery Scan Tool

FRST.txt Addition.txt

Trojan.Multi.DNSChanger опять появился, делал все по инструкции

Trojan.Multi.DNSChanger.а

Ссылка на сообщение
Поделиться на другие сайты
30.07.2021 в 08:54, Sandor сказал:

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь?

Не ответили.

Ага, вижу, что удалили.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {546e2c05-127b-11ea-8441-902b34322521} - "E:\start.exe" 
    HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {5ea86468-38b0-11e9-8421-902b34322521} - "E:\HTC_Sync_Manager_PC.exe" 
    HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {92561aa4-ad8c-11ea-8455-902b34322521} - "E:\start.exe" 
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
    Tcpip\..\Interfaces\{4be9f71e-dc9e-4168-84ae-74c83705f729}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
    Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [NameServer] 192.168.0.254,192.168.0.211,37.10.116.202,212.122.1.2,8.8.8.8,208.67.222.222
    Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Task: {B6DB1D7A-ACF6-418A-AB0B-1F05B417C4D7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Moo0\VideoCutter 1.17\VideoCutter.exe
    FirewallRules: [{B5DED08B-B3EA-4E92-9284-F64695AE625F}] => (Allow) LPort=2869
    FirewallRules: [{9869C56D-F8F7-4DF7-846E-41DD952394D7}] => (Allow) LPort=1900
    FirewallRules: [{92744F5F-DAA8-4AE7-BD58-F6724E5666C0}] => (Allow) LPort=1542
    FirewallRules: [{DF044475-B528-4C16-81EF-C245CBA699D0}] => (Allow) LPort=1542
    FirewallRules: [{9D9A1434-5656-42B4-9736-B7F56128D045}] => (Allow) LPort=53
    FirewallRules: [{A7CE17CD-8218-4D6B-A0CB-41D6BCD6B85E}] => (Allow) LPort=1688
    FirewallRules: [{4981F041-9BBC-4BE6-8DAB-076E2D792C2E}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте, пожалуйста, uVS отсюда.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    regt 39
    restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите ещё раз образ автозапуска uVS этой версией. AutorunsVTchecker уже запускать не нужно.

Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    setdns DNS Server list\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
    setdns Беспроводная сеть\4\{E1615FDD-1671-4C3E-B8F6-975B753D41FF}\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    apply
    
    regt 40
    deltmp
    restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите еще один контрольный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо

Спасибо

Trojan.Multi.DNSChanger.a   находит касперский

скрин рабочий стол.jpg

Перезагрузил с лечение, вроде не появляется, но интернет все равно долго думает

скрин рабочий стол.jpg

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Константин Васьковский сказал:

Trojan.Multi.DNSChanger.a   находит касперский

Обратите внимание, это происходит только когда запущен браузер? Если да, какой именно? Проверьте и Chrome и FireFox.

 

Попутно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте троян вылазит после подключения к 1С и после запуска любого браузера.

Отчеты сделал SecurityCheck by glax24 & Severnyj , один без запуска браузеров второй с запуском

третий с браузерами и 1с

Скрины во вложении

скрин каспера.jpg

скрин c CHROME.jpg

скрин с Firefox.jpg

скрин без браузеров.jpg

после подключения к 1с.png

SecurityCheck.txt SecurityCheck1.txt SecurityCheck2.txt

По истечении 10-15 минут опять вылазит троян, ничего не запускал

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...