-
Junior Member
- Вес репутации
- 21
MEM:Trojan.Win32.SEPEH.gen [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m]
Здравствуйте.
Kaspersky Free обнаружил MEM:Trojan.Win32.SEPEH.gen в System memory
Удаляет без перезагрузки, но через несколько дней повторно его обнаруживает.
Посмотрите, пожалуйста, логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) vlad.sau, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\debug\item.dat','');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('Mysa1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Извините за задержку.
Лог AdwCleaner приложил.
Карантин загрузить не получается, "Ошибка загрузки. Данный файл уже был загружен".
Архив с карантином почему-то пустой.
- - - - -Добавлено - - - - -
Повторно логи, если понадобится.
- - - - -Добавлено - - - - -
Проблема не ушла. Появилась еще какая-то дрянь.
Последний раз редактировалось vlad.sau; 25.10.2018 в 19:21.
-
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\sys.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Карантин загрузил. 181025_191013_quarantine_5bd21515ee349.zip
В AdwCleaner удалил все. Лог приложил.
-
Отправил файл на проверку в Вир. лаб.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Высокоскоростное подключение - Ярлык.lnk [2016-03-15]
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk -> (No File)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2d9c171f-d7ca-4539-b4c0-dbd06a21f9c8} <==== ATTENTION (Restriction - IP)
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-3446385869-4260291199-989661773-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\SysWOW64\winver.exe
Task: {3415FF1A-9DA6-4B89-9A25-1F4C4558FE08} - \Mysa -> No File <==== ATTENTION
Task: {8B112241-A437-434D-AEAF-747DD8007204} - \Mysa3 -> No File <==== ATTENTION
Task: {AFAD4381-712A-4B33-B709-6E0897BD2754} - \Mysa2 -> No File <==== ATTENTION
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
-
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Касперский ничего не видит. За стуки я не заметил аномального поведения машины.
До этого было пару ситуации, касперский удалял этот вирус и несколько дней ничего не видел, но потом снова обнаруживал. Флешки не подключались к машине. Буду наблюдать.
-
Хорошо, тему пока не закрываем ожидаем от вас новостей. Если проблема появится то предоставьте следуюший лог.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Завтра/послезавтра отпишусь. Спасибо.
-
Junior Member
- Вес репутации
- 21
Добрый вечер. Вредоносной активности не выявлено. Тему можно закрывать.
Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
-
Junior Member
- Вес репутации
- 21
Образ приложил.
- - - - -Добавлено - - - - -
Все файлы, удаленные ранее, снова в системе. Касперский поудалял некоторые.
c:\windows\debug\item.dat
c:\windows\debug\ok.dat
Отсутствуют.
C:\Windows\System32\Tasks\ok
C:\Windows\System32\Tasks\Mysa
C:\Windows\System32\Tasks\Mysa1
C:\Windows\System32\Tasks\Mysa2
C:\Windows\System32\Tasks\Mysa3
C:\Windows\System32\sys.exe
Снова в системе.
ok & mysa1 отправил карантином
Файл сохранён как 181028_152251_virus_5bd5d44b312fd.zip
Размер файла 2979
MD5 ae0bc6ac4784a2fcf5d3058ebcdb4371
Постоянное хождение по адресам:
ca.fq520000.com:443/123.exe Программа: Local Security Authority Process
66.117.2.182/upsnew2.exe Программа: Local Security Authority Process
78.142.29.110/v1.rar Программа: Local Security Authority Process
74.222.1.38:8888/close.bat Программа: Local Security Authority Process
208.51.63.150/ups-upx.exe Программа: Local Security Authority Process
Последний раз редактировалось vlad.sau; 28.10.2018 в 19:19.
-
Выполните скрипт в uVS:
Код:
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
zoo %SystemRoot%\DEBUG\C2.BAT
zoo %Sys32%\DRIVERS\HCW85CIR.SYS
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemRoot%\GDRV.SYS
delall %SystemRoot%\DEBUG\C2.BAT
delref %SystemDrive%\USERS\73B5~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_29485\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 21
Скрипт выполнил. Карантин загрузил.
Файл сохранён как 181028_184835_ZOO_5bd604830f75a.zip
Размер файла 1916054
MD5 81d9dbab9fccfe730b32a907adda58e2
Пас virus
Загрузил еще 2 файла, которые обнаружил касперский.
Файл сохранён как 181028_184947_virus_5bd604cbc1ada.zip
upd
В 181028_184947_virus_5bd604cbc1ada.zip потерялись файлы, загрузил новый:
Файл сохранён как 181028_191447_virus_5bd60aa79fc4d.zip
Размер файла 7087222
MD5 b6b128b6015cae6549e2b4ed7ac46f40
Последний раз редактировалось vlad.sau; 28.10.2018 в 22:15.
-
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-