Просьба помочь с удалением вируса trojan.win32.cometer.gen

[yegres]

Kaspersky Endpoint Security for Windows 11.0.0.6499 ругается на вирус в системной памяти trojan.win32.cometer.gen. После процедуры проверки и удаления антивирусом с перезагрузкой, при дальнейшей работе на компьютере опять ловится этот вирус в системной памяти. Просьба помочь избавиться от вируса, необходимый лог прикрепил.

CollectionLog-2021.12.22-08.42.zip

[Sandor]

Здравствуйте!

 

34 минуты назад, yegres сказал:

Kaspersky Endpoint Security for Windows 11.0.0.6499

Очень устаревшая версия, для которой прекращена поддержка.

Настоятельно рекомендую обновить до актуальной.

 

Деинсталлируйте больше не поддерживаемый

Цитата

Adobe Flash Player 32 PPAPI

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupfolder: C:^Users^Сергей Финашин^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^helper.lnk [backup] => C:\Windows\AppData\Roaming\WindowsServices\helper.vbs (2021/04/05) (file missing)
O5 - Applet: C:\Windows\System32\FlashPlayerCPLApp.cpl (Sign: 'Adobe Inc.')
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1
O22 - Task: Adobe Flash Player PPAPI Notifier - C:\Windows\system32\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe -check pepperplugin
O22 - Task: Adobe Flash Player Updater - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[yegres]

сделал...

Addition.txt FRST.txt

[Sandor]

IPSecPolicy - настраивали самостоятельно?

[yegres]

затрудняюсь сказать что было с этим компьютером, компьютер сотрудника, я лишь на нем поставил обновления, также на этом компьютере стоит Secret Net Studio, может он настройки какие внес? удалить его?

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{49ba7532-00ed-4aba-b031-fcd771b6bece} <==== ВНИМАНИЕ (Ограничение - IP)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{49ba7532-00ed-4aba-b031-fcd771b6bece} <==== ВНИМАНИЕ (Ограничение - IP)
  C:\Users\Сергей Финашин\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\Сергей Финашин\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKLM\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-3098898869-4155298268-3687222499-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  Unlock: HKLM\SYSTEM\ControlSet002\Services\MsC49732C8App => C:\Windows\System32\MsC49732C8App.dll
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{6D5B8241-7E40-4801-B4DC-A793E3340A19}] => (Allow) C:\Users\Сергей Финашин\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{D2C16600-0D83-4C3F-96E9-D0FCB745C4D9}] => (Allow) C:\Users\Сергей Финашин\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{B8C3A9A3-4DD6-453A-B647-9A797A060B6A}] => (Allow) LPort=21326
  FirewallRules: [{F8FF8CFC-8632-4CF5-B1F3-8BD46558F089}] => (Allow) LPort=21327
  FirewallRules: [{0989E815-7811-421A-9453-4C2F454BF8D7}] => (Allow) C:\Program Files\Download Studio\dstudio.exe => Нет файла
  FirewallRules: [{09E3843E-04A3-43B9-8F37-FDBA5106E954}] => (Allow) C:\Program Files\Download Studio\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{FA69F602-9192-4017-B57D-5F2A60ED8B17}] => (Allow) C:\Program Files\Download Studio\dstudio-gui.exe => Нет файла
  FirewallRules: [{1C2CAE16-475C-4895-AD63-46C6D064F7EE}] => (Allow) C:\Program Files\Download Studio\dstudio.exe => Нет файла
  FirewallRules: [{69801B3F-09AF-4ED8-80A3-770672053B48}] => (Allow) C:\Program Files\Download Studio\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{B0853DE0-E7E0-4BE2-B156-365CAFA44C7F}] => (Allow) C:\Program Files\Download Studio\dstudio-gui.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[yegres]

сделал...

Fixlog.txt

[Sandor]

2 часа назад, yegres сказал:

ругается на вирус в системной памяти

Что сейчас с этим?

[yegres]

5 минут назад, Sandor сказал:

Что сейчас с этим?

Во время исправления и фиксов по вашем рекомендациям, после перезагрузок, через некоторое время появлялось оповещение о вирусе, при последнем фиксе и перезагрузке, в течении 10 минут пока все нормально, оповещений о вирусе нет. Возможно мы победили! Не подскажите, в чем была причина заражения и где этот зловред сидел?
Оставлю компьютер на 1 час включенным, без работы пользователей, посмотрю на сообщения антивируса, по результатам отпишусь, спасибо!

[Sandor]

2 часа назад, Sandor сказал:

Очень устаревшая версия, для которой прекращена поддержка.

Настоятельно рекомендую обновить до актуальной.

Не откладывайте.

 

2 минуты назад, yegres сказал:

по результатам отпишусь, спасибо!

Хорошо, ждём.

[yegres]

1 час назад, Sandor сказал:

Не откладывайте.

обновил сразу же, после первого Вашего сообщения.

 

Только что подошел к компьютеру, висит опять сообщение, все тоже самое, зловред все еще сидит... Подскажите, что следует нажать, лечить с перезагрузкой или без перезагрузки?

[Sandor]

Пробуйте лечить с перезагрузкой.

[yegres]

17 минут назад, Sandor сказал:

Пробуйте лечить с перезагрузкой.

сделал, компьютер перезагрузился, пока тишина, сообщений о вирусе нет, оставлю опять компьютер поработать, пользователи до компьютера не допущены...
на всякий случай приложу лог антивируса, это лог появился, после того, как я нажал - лечить с перезагрузкой, и компьютер перезагрузился.

1.txt

[Sandor]

Сделаем ещё так:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[yegres]

35 минут назад, Sandor сказал:

Скачайте Malwarebytes v.4. Установите и запустите.

сделал...

scan.txt