Вместо файлов на флешках создаются ярлыки с их названием [HEUR:Trojan.Win32.Khalesi.gen]

**solarr** · 25.10.2018, 21:03

Доброго времени суток!
На компьютере без выхода в Интернет уже пару дней при переносе файлов на флешку наблюдается создание ярлыков с названием этих файлов (сами же файлы при этом отсутствуют). При просмотре автозагрузки обнаружился неудаляемый файл 333eb116.exe расположенный в C:\Documents and Settings\All Users\Application Data\{9e816189-65c5-905e-15b6-9abc808639b4}\. Прошу помочь в решении проблемы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.10.2018, 21:04

Уважаемый(ая) solarr, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 25.10.2018, 23:33

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\documents and settings\all users\application data\{9E816189-65C5-905E-15B6-9ABC808639B4}\333eb116.exe','');
 QuarantineFile('C:\WINDOWS\system32\rmqksida.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ctqhpeilq\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\system32\rmqksida.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\{029149B9-4DF5-0C4E-15B6-9ABC808639B4}.job','32');
 DeleteFile('c:\documents and settings\all users\application data\{9E816189-65C5-905E-15B6-9ABC808639B4}\333eb116.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**solarr** · 26.10.2018, 09:33

Каратнин закачал, логи обновил. Проблема пока не наблюдается. Спасибо!

**thyrex** · 26.10.2018, 20:18

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**solarr** · 29.10.2018, 19:18

Сканирование выполнено, прикрепляю отчеты.

**thyrex** · 29.10.2018, 22:14

Система явно не видела обновлений, если в ней столько следов сетевого старичка Kido.

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {146c2bf7-20b1-11e6-b196-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {1d97f582-f1b6-11e6-b266-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {25571eec-5e80-11e0-abca-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {3c172063-f7fe-11e6-b26d-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {64fbab25-a503-11e8-b3f4-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {81eb21a8-d724-11e6-b24a-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\MountPoints2: {c1e73465-4a64-11e6-b1b4-001a9232de66} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKU\S-1-5-21-1409082233-113007714-682003330-1004\...\Run: [{029149B9-4DF5-0C4E-15B6-9ABC808639B4}] => c:\documents and settings\all users\application data\{9e816189-65c5-905e-15b6-9abc808639b4}\333eb116.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S2 azght; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ctqhpeilq; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 divqhbiy; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 dzycyku; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 gfjqmlc; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 hacvx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 knoezz; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 osnubdz; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 pqfzi; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 rdstafqqx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 snlvsdg; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 whtjvurij; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 xljnk; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 ymlkqcrvu; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S4 zvwdjqwx; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
NETSVC: snlvsdg -> no filepath.
NETSVC: whtjvurij -> no filepath.
NETSVC: hacvx -> no filepath.
NETSVC: zvwdjqwx -> no filepath.
NETSVC: ymlkqcrvu -> no filepath.
NETSVC: pqfzi -> no filepath.
NETSVC: gfjqmlc -> no filepath.
NETSVC: rdstafqqx -> no filepath.
NETSVC: xljnk -> no filepath.
NETSVC: dzycyku -> no filepath.
NETSVC: divqhbiy -> no filepath.
NETSVC: osnubdz -> no filepath.
NETSVC: knoezz -> no filepath.
NETSVC: ibouumbp -> no filepath.
NETSVC: ctqhpeilq -> no filepath.
NETSVC: azght -> no filepath.
NETSVC: wqdoxyj -> C:\WINDOWS\system32\vvstsrtv.dll ()
C:\WINDOWS\system32\vvstsrtv.dll
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**solarr** · 30.10.2018, 10:09

На счет обновлений Вы правы, машина без доступа в Интернет, надо поставить офлайн. Прикрепляю отчет по исправлениям.

**CyberHelper** · 30.10.2018, 10:19

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 5
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\documents and settings\all users\application data\{9e816189=
  -65c5-905e-15b6-9abc808639b4}\333eb116.exe - HEUR:Trojan.Win32.Kha=
  lesi.gen ( AVAST4: Win32:Trojan-gen )

Вместо файлов на флешках создаются ярлыки с их названием [HEUR:Trojan.Win32.Khalesi.gen] (заявка № 220682)

Опции темы