Антивирус постоянно блокирует угрозы [Trojan.Win32.Miner.tvnc, Trojan-Ransom.Win32.Wanna.zbu ]

[DrStanislav]

Лог

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
delref %SystemDrive%\PROGRAM FILES\TEAMSPEAK 3 CLIENT\TS3CLIENT_WIN64.EXE
delref %SystemRoot%\TEMP\14506B46-A58F-498E-9D3D-0E18A7EF8DA9
delref %SystemRoot%\TEMP\48A6ED9E-5255-4D82-9656-5299188FBD28
restart

Откоючите все раширения в yandex-браузере и проверьте наличие проблемы.

[DrStanislav]

После отключения всех расширений проблема осталась, безопасное подключение к сайтам блокируется даже при закрытом браузере. Может проблема заключается в программном обеспечении MagicWiFi Portable Version?

[SQ]

Приложите пожалуйста новые логи утилиты FRST.

[DrStanislav]

Логи

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  2018-06-20 07:14 - 2018-06-20 07:14 - 000000000 _____ C:\Windows\system32\TmpA765.tmp
  2018-06-20 07:14 - 2018-06-20 07:14 - 000000000 _____ C:\Windows\system32\TmpA65C.tmp
  2018-06-18 12:07 - 2018-06-18 12:07 - 000001923 _____ C:\Windows\SysWOW64\cpu.txt
  2018-06-15 19:21 - 2018-06-25 12:15 - 000000406 _____ C:\Windows\config.txt
  2018-06-15 19:21 - 2018-06-25 12:15 - 000000337 _____ C:\Windows\ppl.txt
  2018-06-15 19:21 - 2018-06-15 19:21 - 000001923 _____ C:\Windows\system32\cpu.txt
  2018-06-13 23:00 - 2018-06-13 23:00 - 000000005 _____ C:\Windows\system32\1.txt
  File: C:\Windows\system32\Drivers\RtsUer.sys
  Folder: C:\Users\StanislaV\AppData\Local\RadeonSettings
  Task: {38E2AA58-9759-49D7-B4AA-AFF6E07E1ABC} - \{66DBF26C-1619-4402-BF2F-E40CDDF7DD56} -> No File <==== ATTENTION
  File: C:\Users\StanislaV\Desktop\WGCheck.exe
  Task: {8925B1F9-A471-474E-AD37-0A8AAF374C4C} - \{0F5E6429-BE8D-4FC6-A9E3-15D2D2F6B4D2} -> No File <==== ATTENTION
  Task: {EEF17880-212E-4AE5-82E3-E95E8DB18E77} - \{4BFBD78E-1AE8-491E-9DE8-B0042B67AC74} -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сами ставили?

Код:

MSCONFIG\Services: TeamViewer => 2

[DrStanislav]

Сам ничего не ставил.
Лог.

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  MSCONFIG\Services: TeamViewer => 2
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[DrStanislav]

Лог

[SQ]

Покажите результат следующей команды в командной строке (cmd.exe)

Код:

net share

[DrStanislav]

Код:

C:\Users\StanislaV>net share

Общее имя   Ресурс                        Заметки

-------------------------------------------------------------------------------
C$           C:\                             Стандартный общий ресурс
D$           D:\                             Стандартный общий ресурс
E$           E:\                             Стандартный общий ресурс
F$           F:\                             Стандартный общий ресурс
IPC$                                         Удаленный IPC
ADMIN$       C:\Windows                      Удаленный Admin
Users        C:\Users
Команда выполнена успешно.

[SQ]

попробуйте закрыть шару Users:

Код:

net share users /delete

Сообщите результат.

[DrStanislav]

Проблема осталась.

[SQ]

Как она проявляется?
Aнтивирус оповещает об угрозах, даже когда не используете браузеры?
У Вас установлены все критические обновления Windows?

[DrStanislav]

Проявляется даже когда браузер не используется. Сейчас поставлю KB976932. Или какое обновление должно быть установлено?

[SQ]

Желательно все критические обновления, особенно которые закрывают уязвимость smb.

https://docs.microsoft.com/en-us/sec.../2017/ms17-010

[DrStanislav]

Проблема решилась установкой обновлений и закрытием портов 139 и 445. Спасибо.

[SQ]

отлично. Удачи Вам!

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. \a.exe - Trojan.Win32.Miner.tvnc
  2. c:\windows\help\lsmosee.exe - HEUR:Trojan.Win32.Generic
  3. \qeriuwjhrf - Trojan-Ransom.Win32.Wanna.zbu ( BitDefender: Gen:Trojan.Heur.RP.wtW@aGEmS3di )