Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Троян Trojan.Multi.DNSChanger в System Memory не лечится

Константин Васьковский

Автор Константин Васьковский
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Константин Васьковский Новичок

Константин Васьковский

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger в System Memory. Стоит KIS 21 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, комп перезапускается и все по новой - опять тот же троян в System Memory

Лог

CollectionLog-2021.07.30-14.59.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): 

O17 - DHCP DNS 3: 37.10.116.202
O17 - DHCP DNS 4: 212.122.1.2

 

В перечне установленных программ видны Kaspersky Free и Kaspersky Internet Security. Причем, в логах видны следы еще 18 версии.

Деинсталлируйте все стандартно, затем в безопасном режиме пройдитесь утилитой.

Скачайте актуальную версию и установите.

 

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь? Если да, временно деинсталлируйте.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский Новичок

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте. отчеты Farbar Recovery Scan Tool

FRST.txt Addition.txt

Trojan.Multi.DNSChanger опять появился, делал все по инструкции

Trojan.Multi.DNSChanger.а

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
30.07.2021 в 08:54, Sandor сказал:

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь?

Не ответили.

Ага, вижу, что удалили.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {546e2c05-127b-11ea-8441-902b34322521} - "E:\start.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {5ea86468-38b0-11e9-8421-902b34322521} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {92561aa4-ad8c-11ea-8455-902b34322521} - "E:\start.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{4be9f71e-dc9e-4168-84ae-74c83705f729}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [NameServer] 192.168.0.254,192.168.0.211,37.10.116.202,212.122.1.2,8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Task: {B6DB1D7A-ACF6-418A-AB0B-1F05B417C4D7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Moo0\VideoCutter 1.17\VideoCutter.exe
FirewallRules: [{B5DED08B-B3EA-4E92-9284-F64695AE625F}] => (Allow) LPort=2869
FirewallRules: [{9869C56D-F8F7-4DF7-846E-41DD952394D7}] => (Allow) LPort=1900
FirewallRules: [{92744F5F-DAA8-4AE7-BD58-F6724E5666C0}] => (Allow) LPort=1542
FirewallRules: [{DF044475-B528-4C16-81EF-C245CBA699D0}] => (Allow) LPort=1542
FirewallRules: [{9D9A1434-5656-42B4-9736-B7F56128D045}] => (Allow) LPort=53
FirewallRules: [{A7CE17CD-8218-4D6B-A0CB-41D6BCD6B85E}] => (Allow) LPort=1688
FirewallRules: [{4981F041-9BBC-4BE6-8DAB-076E2D792C2E}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте, пожалуйста, uVS отсюда.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 39
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите ещё раз образ автозапуска uVS этой версией. AutorunsVTchecker уже запускать не нужно.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
setdns DNS Server list\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
setdns Беспроводная сеть\4\{E1615FDD-1671-4C3E-B8F6-975B753D41FF}\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
apply

regt 40
deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите еще один контрольный образ автозапуска uVS.

Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский Новичок

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Хорошо

Спасибо

Trojan.Multi.DNSChanger.a   находит касперский

скрин рабочий стол.jpg

Перезагрузил с лечение, вроде не появляется, но интернет все равно долго думает

скрин рабочий стол.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
3 часа назад, Константин Васьковский сказал:

Trojan.Multi.DNSChanger.a   находит касперский

Обратите внимание, это происходит только когда запущен браузер? Если да, какой именно? Проверьте и Chrome и FireFox.

 

Попутно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Константин Васьковский Новичок

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте троян вылазит после подключения к 1С и после запуска любого браузера.

Отчеты сделал SecurityCheck by glax24 & Severnyj , один без запуска браузеров второй с запуском

третий с браузерами и 1с

Скрины во вложении

скрин каспера.jpg

скрин c CHROME.jpg

скрин с Firefox.jpg

скрин без браузеров.jpg

после подключения к 1с.png

SecurityCheck.txt SecurityCheck1.txt SecurityCheck2.txt

По истечении 10-15 минут опять вылазит троян, ничего не запускал

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...