Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.
Printable View
Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.
Уважаемый(ая) [B]vlad.sau[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\debug\item.dat','');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('Mysa1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Извините за задержку.
Лог AdwCleaner приложил.
Карантин загрузить не получается, "Ошибка загрузки. Данный файл уже был загружен".
Архив с карантином почему-то пустой.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Повторно логи, если понадобится.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Проблема не ушла. Появилась еще какая-то дрянь.
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\sys.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Карантин загрузил. 181025_191013_quarantine_5bd21515ee349.zip
В AdwCleaner удалил все. Лог приложил.
Отправил файл на проверку в Вир. лаб.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Прикрепил.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Высокоскоростное подключение - Ярлык.lnk [2016-03-15]
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk -> (No File)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2d9c171f-d7ca-4539-b4c0-dbd06a21f9c8} <==== ATTENTION (Restriction - IP)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-3446385869-4260291199-989661773-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\SysWOW64\winver.exe
Task: {3415FF1A-9DA6-4B89-9A25-1F4C4558FE08} - \Mysa -> No File <==== ATTENTION
Task: {8B112241-A437-434D-AEAF-747DD8007204} - \Mysa3 -> No File <==== ATTENTION
Task: {AFAD4381-712A-4B33-B709-6E0897BD2754} - \Mysa2 -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Прикрепил.
Сообщите, что с проблемой?
Касперский ничего не видит. За стуки я не заметил аномального поведения машины.
До этого было пару ситуации, касперский удалял этот вирус и несколько дней ничего не видел, но потом снова обнаруживал. Флешки не подключались к машине. Буду наблюдать.
Хорошо, тему пока не закрываем ожидаем от вас новостей. Если проблема появится то предоставьте следуюший лог.
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
Завтра/послезавтра отпишусь. Спасибо.
Добрый вечер. Вредоносной активности не выявлено. Тему можно закрывать.
Большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Образ приложил.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Все файлы, удаленные ранее, снова в системе. Касперский поудалял некоторые.
c:\windows\debug\item.dat
c:\windows\debug\ok.dat
Отсутствуют.
C:\Windows\System32\Tasks\ok
C:\Windows\System32\Tasks\Mysa
C:\Windows\System32\Tasks\Mysa1
C:\Windows\System32\Tasks\Mysa2
C:\Windows\System32\Tasks\Mysa3
C:\Windows\System32\sys.exe
Снова в системе.
ok & mysa1 отправил карантином
Файл сохранён как 181028_152251_virus_5bd5d44b312fd.zip
Размер файла 2979
MD5 ae0bc6ac4784a2fcf5d3058ebcdb4371
Постоянное хождение по адресам:
ca.fq520000.com:443/123.exe Программа: Local Security Authority Process
66.117.2.182/upsnew2.exe Программа: Local Security Authority Process
78.142.29.110/v1.rar Программа: Local Security Authority Process
74.222.1.38:8888/close.bat Программа: Local Security Authority Process
208.51.63.150/ups-upx.exe Программа: Local Security Authority Process
[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
zoo %SystemRoot%\DEBUG\C2.BAT
zoo %Sys32%\DRIVERS\HCW85CIR.SYS
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemRoot%\GDRV.SYS
delall %SystemRoot%\DEBUG\C2.BAT
delref %SystemDrive%\USERS\73B5~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_29485\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
restart[/CODE]
Скрипт выполнил. Карантин загрузил.
Файл сохранён как 181028_184835_ZOO_5bd604830f75a.zip
Размер файла 1916054
MD5 81d9dbab9fccfe730b32a907adda58e2
Пас virus
Загрузил еще 2 файла, которые обнаружил касперский.
Файл сохранён как 181028_184947_virus_5bd604cbc1ada.zip
upd
В 181028_184947_virus_5bd604cbc1ada.zip потерялись файлы, загрузил новый:
Файл сохранён как 181028_191447_virus_5bd60aa79fc4d.zip
Размер файла 7087222
MD5 b6b128b6015cae6549e2b4ed7ac46f40
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
add
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\igfxTray.exe
File: C:\Windows\SysWOW64\winver.exe
File: C:\Windows\system32\User32.dll
Zip: C:\Windows\system32\User32.dll
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
Task: {4AE0B88D-6476-45F9-BB38-E5ACDD7CC5DC} - \Mysa1 -> No File <==== ATTENTION
Task: {64A248A7-CA28-485D-BD7F-CB9008FF83A1} - \{2E0DB0A3-D0F1-47A2-A941-6C6D4006D48F} -> No File <==== ATTENTION
Task: {82144666-BF86-472B-A213-29211C1EDEB4} - \ok -> No File <==== ATTENTION
Task: {911511CE-7C34-4F5F-9F82-B1B929D5E892} - \Mysa -> No File <==== ATTENTION
Task: {9329229D-1B54-4A2F-83EC-10703637008D} - \Mysa2 -> No File <==== ATTENTION
Task: {AE8F6986-7C3E-4C5C-8D22-13F007549E95} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Task: {D8DA168A-5AB8-41ED-97B6-179A660A707E} - \Mysa3 -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms7DB53800App => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7DB53800.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms7DB53800App => ""="Service"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Карантин 181028_202417_28.10.2018_23.22.25_5bd61af119afa.zip
Лог в прил.
Выполните пожалуйста полную проверку на вирусы вашего ПК и сообщите, что с проблемой?
Хронология
28.10.2018 23.28.04 Заблокирован опасный веб-адрес ca.fq520000.com:443/123.exe
29.10.2018 00.01.39 Обнаружен объект (файл) C:\Windows\mssecsvc.exe
29.10.2018 00.14.51 Обнаружен объект (файл) C:\Windows\mssecsvr.exe
Сейчас MEM:Trojan.Win32.SEPEH.gen
Сейчас находит опять?
Да. Только что нашел.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Стучаться на адрес начал сразу после скрипта в фарбаре.
И после каскад обнаружений.
Соберите пожалуйста новый лог uVS.
Итог проверки:
Trojan.Win32.EquationDrug.gen
Trojan.Win32.SEPEH.gen
Trojan.Win64.EquationDrug.gen
Rootkit.Win64.EquationDrug.a
Все в системной памяти.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
add
Сообщите пожалуйста у вас прямой интернет или через маршрутизатор(роутер)?
DSL-модем
Dlink 2500u
Видимо ваш модем настроен как мост(bridge) и ваш ПК открыт и из-за уязвимости SMB на Ваш ПК проникает вредоносное ПО.
Утчоните пожалуйста у Вас Windows Firewall включен?
Вам необходимо установить обновления для Windows 7 x64 [URL="https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010"]закрывающие уязвимость SMB[/URL].
Брандмауэр отключен.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Активировать не удается: Код ошибки 0x80070422
Тогда для начало установить обновление закрывающее уязвимость.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Уточните пожалуйста, какие-то ограничения в локальной политике устанавливали?
[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION[/CODE]
Маловероятно.
Покажите пожалуйста результат следующей команды в командной строке(cmd.exe):
[CODE]reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"[/CODE]
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ser
vices\MpsSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Start REG_DWORD 0x4
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Security
Выполните следующие команды в командой строке (cmd.exe):
[CODE]reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc" /v Start /t REG_DWORD /d 0x2
Net Start MpsSvc[/CODE]
После этого попробуйте включить Windows Firewall
Не получается. Код ошибки прежний.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Установил kb4012212 Security Only[1].
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Пользователь>reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\se
rvices\MpsSvc" /v Start
Удалить параметр реестра Start без возможности восстановления (Y - да/N - нет)?
y
Операция успешно завершена.
C:\Users\Пользователь>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servi
ces\MpsSvc" /v Start /t REG_DWORD /d 0x2
Операция успешно завершена.
C:\Users\Пользователь>Net Start MpsSvc
Системная ошибка 1058.
Указанная служба не может быть запущена, поскольку она отключена или все связанн
ые с ней устройства отключены.
Попробуйте перегрузить ПК. Также сообщите если вы установили обновления для Windows 7 X64:
[URL="http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212"]KB4012212[/URL]
[URL="https://www.catalog.update.microsoft.com/search.aspx?q=kb4012215"]KB4012215[/URL]