Подозрение на остатки трояна

**Derek_mat** · 22.07.2018, 00:38

Форматнул (быстрое форматирование) жёсткий, напичканый вирусами, разбил на три диска (основной и два логических). После свежей установки ОС, просочились вирусы Trojan.Rootkit.22045, 22046, 22047, Trojan.PWS.Stealer.23950, Win32/Agent.TDX, Win32/Glupteba.BC, Generik.LJBXGTO
Сейчас они удалены, и антивирус Eset 10.0.399.2 не выявляет новых заражённых файлов, но порой блочит ссылки на пустом месте и пару раз закрывался explorer, через диспетчер задач поднимал заново.
Профи гляньте пожалуйста. В планировщике удалил одну задачу подозрительную
ps файл по пути C:\Users\Admin\appdata\local\temp\csrss\ так же удалил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.07.2018, 00:39

Уважаемый(ая) Derek_mat, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.07.2018, 14:00

Не стоит делать логи во время работы Dr. Web CureIT!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Admin\appdata\local\temp\csrss\scheduled.exe', '');
 DeleteFile('C:\Users\Admin\appdata\local\temp\csrss\scheduled.exe', '');
 DeleteFileMask('c:\users\admin\appdata\local\temp\csrss', '*', true);
 DeleteDirectory('c:\users\admin\appdata\local\temp\csrss');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Derek_mat** · 24.07.2018, 14:22

Вот файлы. Кстати при первом сборе логов не был запущен cure it, был только НОД, но я его с опаской поставил на паузу 10 минутную

**Vvvyg** · 24.07.2018, 21:10

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FirewallRules: [{BB8D3520-67FC-44D5-821A-CB1101C3CCA2}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{65377E1A-EE31-40EA-9DCF-984890B8AF5B}] => (Allow) C:\Users\Admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{532888A8-C688-4F5E-909B-FA0361E31009}] => (Allow) C:\Users\Admin\AppData\Local\Temp\csrss\lsa64.exe
FirewallRules: [{40C315D1-C022-40B7-A990-E5CC5F73CB20}] => (Allow) C:\Users\Admin\AppData\Local\Temp\csrss\lsa64.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Устанавливайте обязательно:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления

Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами, как раз в вашем случае, похоже.

Программу CloudNet удалите.

**Derek_mat** · 25.07.2018, 10:07

Фикслог прикладываю. CloudeNet нет вроде такой программы, не могу найти.
PS Сейчас мониторю и пока не убивало процесс explorer, так же некоторые глюки пропали и никакой процесс не пытается скачать с интернета всякое отребье. Спасибо огромное

**Vvvyg** · 25.07.2018, 21:04

Если уязвимости устранили, т. е. установили обновления - всё на этом.

**CyberHelper** · 25.07.2018, 21:14

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Подозрение на остатки трояна (заявка № 219691)

Опции темы