Подозрение на троянскую программы с FU-Based руткитом
Довелось устанавливать зараженную (видимо) игру.
Первым замеченным симптомом были сбои хрома, после перезагрузки все настройки хрома сбросились и его версия вдруг оказалась 29.0.. (hic!.. при актуальной 44.0..), при этом остальные браузеры (Мозилла) при попытке запуска через ярлык были перенаправлены на тот же хром 29.
Изучив внимательнее папку с исполняемым файлом хрома, я обнаружил, что там располагаются 3 исполняемых файла: chrome.exe (редакции времени установки приложения -- т.е. сегодняшним числом и той самой версией 29.0..), chrome_old.exe (измененный 14.07.15) и old_chrome.exe (7.07.15) с соответствующей папкой для каждой из версий исполняемого файла. При запуске двух последних браузер запускался с историей и целыми настройками.
Проверки KVRT, tdsskiller и CureIt ничего не дали, однако запестрил красненьким AVZ и при попытке установки Каспера тот с гордым видом чистоплюя сообщил, что установиться у него не получилось и виной тому, видимо, вирусы.
Malwarebytes посадил в карантин по паре свеженьких разделов и значений реестра PUM.Security.Hijack.DisableChromeUpdates.
И вот я здесь, надеюсь и уповаю.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Saddiel, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\ism\appdata\roaming\ssleas.exe','');
DeleteFile('C:\Users\ism\appdata\roaming\ssleas.exe','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Отключите AVZGuard и приложите новые логиAVZ. Важно: для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: