Перейти к содержанию
Правила раздела

Троян Trojan.Multi.DNSChanger в System Memory не лечится

Константин Васьковский

Автор Константин Васьковский
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Константин Васьковский

Константин Васьковский

Опубликовано
Опубликовано

Здравствуйте. Помогите пожалуйста - не могу вылечить этот троян Trojan.Multi.DNSChanger в System Memory. Стоит KIS 21 при запуске видит этот троян, нажимаю - Лечить с перезагрузкой, происходит процесс якобы лечения, комп перезапускается и все по новой - опять тот же троян в System Memory

Лог

CollectionLog-2021.07.30-14.59.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): 

O17 - DHCP DNS 3: 37.10.116.202
O17 - DHCP DNS 4: 212.122.1.2

 

В перечне установленных программ видны Kaspersky Free и Kaspersky Internet Security. Причем, в логах видны следы еще 18 версии.

Деинсталлируйте все стандартно, затем в безопасном режиме пройдитесь утилитой.

Скачайте актуальную версию и установите.

 

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь? Если да, временно деинсталлируйте.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Sandor

Sandor

Опубликовано
Опубликовано
30.07.2021 в 08:54, Sandor сказал:

Программу

Цитата

Moo0 Видео Каттер 1.17

ставили самостоятельно? Пользуетесь?

Не ответили.

Ага, вижу, что удалили.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {546e2c05-127b-11ea-8441-902b34322521} - "E:\start.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {5ea86468-38b0-11e9-8421-902b34322521} - "E:\HTC_Sync_Manager_PC.exe" 
HKU\S-1-5-21-3515684188-1349400556-3629310488-1616\...\MountPoints2: {92561aa4-ad8c-11ea-8455-902b34322521} - "E:\start.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\Parameters: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{4be9f71e-dc9e-4168-84ae-74c83705f729}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [NameServer] 192.168.0.254,192.168.0.211,37.10.116.202,212.122.1.2,8.8.8.8,208.67.222.222
Tcpip\..\Interfaces\{e1615fdd-1671-4c3e-b8f6-975b753d41ff}: [DhcpNameServer] 192.168.0.254 192.168.0.211 37.10.116.202 212.122.1.2 8.8.8.8
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Task: {B6DB1D7A-ACF6-418A-AB0B-1F05B417C4D7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Moo0\VideoCutter 1.17\VideoCutter.exe
FirewallRules: [{B5DED08B-B3EA-4E92-9284-F64695AE625F}] => (Allow) LPort=2869
FirewallRules: [{9869C56D-F8F7-4DF7-846E-41DD952394D7}] => (Allow) LPort=1900
FirewallRules: [{92744F5F-DAA8-4AE7-BD58-F6724E5666C0}] => (Allow) LPort=1542
FirewallRules: [{DF044475-B528-4C16-81EF-C245CBA699D0}] => (Allow) LPort=1542
FirewallRules: [{9D9A1434-5656-42B4-9736-B7F56128D045}] => (Allow) LPort=53
FirewallRules: [{A7CE17CD-8218-4D6B-A0CB-41D6BCD6B85E}] => (Allow) LPort=1688
FirewallRules: [{4981F041-9BBC-4BE6-8DAB-076E2D792C2E}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

Fixlog.txt

Trojan.Multi.DNSChanger.b  сейчас находит касперский

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте, пожалуйста, uVS отсюда.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 39
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите ещё раз образ автозапуска uVS этой версией. AutorunsVTchecker уже запускать не нужно.

Sandor

Sandor

Опубликовано
Опубликовано
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
setdns DNS Server list\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
setdns Беспроводная сеть\4\{E1615FDD-1671-4C3E-B8F6-975B753D41FF}\192.168.0.254,192.168.0.211,212.122.1.2,8.8.8.8,208.67.222.222
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
apply

regt 40
deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Соберите еще один контрольный образ автозапуска uVS.

Sandor

Sandor

Опубликовано
Опубликовано

Последите некоторое время и сообщите результат.

Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Хорошо

Спасибо

Trojan.Multi.DNSChanger.a   находит касперский

скрин рабочий стол.jpg

Перезагрузил с лечение, вроде не появляется, но интернет все равно долго думает

скрин рабочий стол.jpg

Sandor

Sandor

Опубликовано
Опубликовано
3 часа назад, Константин Васьковский сказал:

Trojan.Multi.DNSChanger.a   находит касперский

Обратите внимание, это происходит только когда запущен браузер? Если да, какой именно? Проверьте и Chrome и FireFox.

 

Попутно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Константин Васьковский

Константин Васьковский

Опубликовано
  • Автор
Опубликовано

Здравствуйте троян вылазит после подключения к 1С и после запуска любого браузера.

Отчеты сделал SecurityCheck by glax24 & Severnyj , один без запуска браузеров второй с запуском

третий с браузерами и 1с

Скрины во вложении

скрин каспера.jpg

скрин c CHROME.jpg

скрин с Firefox.jpg

скрин без браузеров.jpg

после подключения к 1с.png

SecurityCheck.txt SecurityCheck1.txt SecurityCheck2.txt

По истечении 10-15 минут опять вылазит троян, ничего не запускал

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...