Подозрение на Trojan.InstallCore.3217

**lolwutlolwut** · 28.04.2018, 18:07

Здравствуйте.
Подозрения у меня вызвала сегодняшняя временная блокировка учетной записи Facebook со следующим описанием:

You’re Temporarily Blocked
It looks like you were misusing this feature by going too fast. You’ve been blocked from using it.

Поиск причин данной блокировки сподвиг к проверке системы утилитой Dr.Web CureIt. Он показал присутствие зловреда под названием Trojan.InstallCore.3217, который Dr.Web обезвредил. Только после этого я решил углубиться в решение проблемы и вспомнил о вашем сайте.
Сделал все по инструкции. Логи прикрепляю к сообщению.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.04.2018, 18:08

Уважаемый(ая) lolwutlolwut, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 01.05.2018, 04:00

- Подготовьте лог AdwCleaner и приложите его в теме.

**lolwutlolwut** · 01.05.2018, 09:03

Лог AdwCleaner

SQ · 01.05.2018, 22:31

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**lolwutlolwut** · 02.05.2018, 00:27

Логи FRST

SQ · 02.05.2018, 06:13

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Windows\ws.zip
Folder: C:\Users\root\AppData\Roaming\apachelogsview
Folder: C:\Program Files (x86)\iannet
Folder: C:\Users\root\AppData\Local\Downloaded Installations
2017-06-05 10:59 - 2017-06-05 10:59 - 008769712 _____ () C:\Users\root\AppData\Local\Temp\_update-4d1d-3ffa-2222-dc7d.exe
2018-03-01 00:24 - 2018-03-01 00:24 - 009485096 _____ () C:\Users\root\AppData\Local\Temp\_update-e9ab-7429-dbeb-cd9d.exe
CustomCLSID: HKU\S-1-5-21-4034834759-2721355199-43829810-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\root\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => No File
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**lolwutlolwut** · 02.05.2018, 09:46

Лог Fixlog

SQ · 02.05.2018, 19:47

Уточните пожалуйста, Вам знакомо следующее?

Код:

C:\Windows\ws.zip

**lolwutlolwut** · 02.05.2018, 20:19

Сообщение от SQ

Уточните пожалуйста, Вам знакомо следующее?

Код:

C:\Windows\ws.zip

Да, только теперь вспомнил откуда. В папке Windows нашел множество файлов, происхождение которых мне было не совсем ясно. Дата создания у всех 2004 год, все по 28 байт и с непонятными названиями. Раньше никогда и нигде таких не замечал, потому и вызвали подозрение. А приложить к анализу забыл. Прикрепляю на всякий случай этот архив.

SQ · 03.05.2018, 19:37

Содержимое похоже на файлы майнера. Сообщите, что с проблемой?

**lolwutlolwut** · 03.05.2018, 20:49

Пока себя никак не проявляет. Страница Facebook разблокирована. Подозрительных процессов на первый взгляд не наблюдается. Эти непонятные файлы можно попробовать удалить?

SQ · 03.05.2018, 21:33

Сообщение от lolwutlolwut

Эти непонятные файлы можно попробовать удалить?

Это Вам решать, в архиве с паролем они не предоставляют угрозы.

**lolwutlolwut** · 03.05.2018, 22:18

Спасибо за ваше время и помощь

SQ · 03.05.2018, 22:39

По наблюдайте и сообщите, если проблема еще как-то проявляется.

Подозрение на Trojan.InstallCore.3217 (заявка № 218755)

Опции темы