Касперский не лечит заражение троян в system memory

**Crazzzy** · 04.03.2019, 16:41

Помогите пожалуйста избавиться от трояна.
Заранее спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.03.2019, 16:42

Уважаемый(ая) Crazzzy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 05.03.2019, 00:41

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('Q:\autorun.inf','');
 QuarantineFile('C:\Program Files (x86)\cRwPWqtmU\YwKsCJ.dll','');
 TerminateProcessByName('C:\Program Files (x86)\Muusic\786974048.exe');
 QuarantineFile('C:\Program Files (x86)\Muusic\786974048.exe','');
 DeleteFile('C:\Program Files (x86)\Muusic\786974048.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','y43bn04jjgq','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sound+','x64');
 DeleteFile('C:\Program Files\Sound+\Sound+.exe','64');
 DeleteFile('C:\Program Files (x86)\cRwPWqtmU\YwKsCJ.dll','64');
 DeleteSchedulerTask('cJzHtsgsoXecpsR');
 DeleteFile('Q:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**Crazzzy** · 06.03.2019, 09:36

Не помогло. Троян остался.
При попытке загрузить карантин в тему появляется ошибка: Результат загрузки: Ошибка загрузки. Данный файл уже был загружен.
архив с карантином вроде пустой.

**thyrex** · 07.03.2019, 00:03

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**Crazzzy** · 07.03.2019, 09:38

Сделано

**thyrex** · 08.03.2019, 00:16

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Startup: C:\Users\Кузенко\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Google Chrome.lnk [2017-05-13]
ShortcutTarget: Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (No File)
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{91C54DC0-6B37-4DDB-A763-D5C4588C9A23}.xpi [2019-03-04] [Legacy] [not signed]
OPR Extension: (Adblocker for Youtube™) - C:\Users\Кузенко\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccjimlclmlpjmabfimmbjnmeeocnicdb [2019-03-04]
CHR HKU\S-1-5-21-1321547935-3192109957-1889270255-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bobeehhgpnppdghmfffdjadmbjbaeeod] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (chrome_filter) - C:\Users\Кузенко\AppData\Roaming\Opera Software\Opera Stable\Extensions\jdhpglkdaglbajakmghoaeimnlccjijh [2019-02-28]
2019-03-05 11:55 - 2019-03-05 11:57 - 184806064 _____ C:\Users\Кузенко\Downloads\3cdvsj1z.exe
2019-03-05 08:31 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\0FXWXQTRP5
2019-03-05 08:31 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\epjo314nxle
2019-03-05 07:46 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\JW5SU8FVX4
2019-03-05 07:46 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\k4h355scpzl
2019-03-05 07:01 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\HVGVLPYUQA
2019-03-05 07:01 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\uznrhycfjd2
2019-03-05 06:16 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\0YYI45WJRF
2019-03-05 06:16 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\faocnbemro0
2019-03-05 05:31 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\botjd1vg0py
2019-03-05 05:31 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files\USYS7X0C57
2019-03-05 04:46 - 2019-03-05 10:46 - 000000000 ____D C:\Program Files\T3LFICXGD0
2019-03-05 04:46 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\34kzk5bzfjz
2019-03-05 04:01 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\gecwhkupsqj
2019-03-05 04:01 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files\UX34VWCRE4
2019-03-05 03:16 - 2019-03-05 10:46 - 000000000 ____D C:\Program Files\ZBLNDMZ3XK
2019-03-05 03:16 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\3w5m2ytyztd
2019-03-05 03:16 - 2019-03-05 03:16 - 000000000 ____D C:\Users\Все пользователи\{87007C45-A29C-B725-E4BF-A63BE458FF6A}
2019-03-05 03:16 - 2019-03-05 03:16 - 000000000 ____D C:\Users\Все пользователи\{018624DE-FA07-31A3-7FE7-20BD7F0079EC}
2019-03-05 03:16 - 2019-03-05 03:16 - 000000000 ____D C:\ProgramData\{87007C45-A29C-B725-E4BF-A63BE458FF6A}
2019-03-05 03:16 - 2019-03-05 03:16 - 000000000 ____D C:\ProgramData\{018624DE-FA07-31A3-7FE7-20BD7F0079EC}
2019-03-05 02:31 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\DUARY5KFXL
2019-03-05 02:31 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\4humsy40zou
2019-03-05 01:46 - 2019-03-05 10:46 - 000000000 ____D C:\Program Files\XCR1JIJ5GK
2019-03-05 01:45 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\ghiouuxakup
2019-03-05 01:01 - 2019-03-05 10:45 - 000000000 ____D C:\Program Files\P6YLUJHMCK
2019-03-05 01:01 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\fqw31qboopi
2019-03-05 00:15 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\hhtj5ad2hny
2019-03-05 00:15 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files\SY43USXUZX
2019-03-04 23:30 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\03NTO1ES8O
2019-03-04 23:30 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\32xls0of4at
2019-03-04 22:45 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\M86LM4XE3N
2019-03-04 22:45 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\bz0vkbf5rp0
2019-03-04 22:00 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\4LFK1KR5LP
2019-03-04 22:00 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\koupn0zgwzg
2019-03-04 21:16 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\IF4JRPG548
2019-03-04 21:15 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\yxjpe4ejoxx
2019-03-04 20:30 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\C0NCN0FFHP
2019-03-04 20:30 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\z0yiu3rksyy
2019-03-04 19:46 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\C4CE0U5Y6V
2019-03-04 19:45 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\pl3wtrowynv
2019-03-04 19:00 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\4w2bil5kzxv
2019-03-04 19:00 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files\NT6DQ6QJ7Q
2019-03-04 18:15 - 2019-03-05 10:46 - 000000000 ____D C:\Program Files\ZC2RJZ6JOY
2019-03-04 18:15 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\tnos3az0hvb
2019-03-04 17:31 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\b40ejn5u4lc
2019-03-04 17:30 - 2019-03-05 10:44 - 000000000 ____D C:\Program Files\5QD0UGY7Q6
2019-03-04 16:43 - 2019-03-05 10:32 - 000000000 ____D C:\Program Files (x86)\NDeBlRjARAUn
2019-03-04 16:43 - 2019-03-05 10:17 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\petrpixcrhi
2019-03-04 16:43 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files\LERRVMLDM7
2019-03-04 16:43 - 2019-03-05 10:17 - 000000000 ____D C:\Program Files (x86)\PdUEJHwTcIE
2019-03-04 16:43 - 2019-03-05 10:06 - 000000000 ____D C:\Program Files (x86)\EhGTHpYbMZVU2
2019-03-04 16:43 - 2019-03-05 10:05 - 000000000 ____D C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
2019-03-04 16:43 - 2019-03-05 10:04 - 000000000 ____D C:\Users\Все пользователи\DQtKumvopDKCWKVB
2019-03-04 16:43 - 2019-03-05 10:04 - 000000000 ____D C:\ProgramData\DQtKumvopDKCWKVB
2019-03-04 16:43 - 2019-03-05 10:04 - 000000000 ____D C:\Program Files (x86)\aeVSlgaHU
2019-03-04 16:43 - 2019-03-05 10:03 - 000000000 ____D C:\Program Files (x86)\bqzrWnnidGJDC
2019-03-04 16:43 - 2019-03-05 03:01 - 000000000 ____D C:\Users\Кузенко\AppData\LocalLow\TJqfuVTHYCGlj
2019-02-28 14:43 - 2019-03-05 12:04 - 000000292 _____ C:\Windows\Tasks\cJzHtsgsoXecpsR.job
2019-02-28 14:41 - 2019-03-01 09:58 - 000000000 ____D C:\Users\Кузенко\AppData\Roaming\1rml4xxgycq
2019-02-28 14:41 - 2019-02-28 14:43 - 000000000 ____D C:\Program Files\DZMV5OOGH4
2019-02-28 14:40 - 2019-03-01 11:13 - 000000000 ____D C:\Users\Кузенко\AppData\Local\App
2019-02-28 14:36 - 2019-03-05 12:03 - 000000000 ____D C:\Program Files (x86)\Muusic
2016-03-31 22:27 - 2016-03-31 22:27 - 000264104 _____ () C:\Users\Кузенко\AppData\Roaming\inst.lat
2016-03-31 22:28 - 2016-03-31 22:28 - 001626416 _____ () C:\Users\Кузенко\AppData\Roaming\Isis.tst
2016-03-31 22:28 - 2016-03-31 22:28 - 000072699 _____ () C:\Users\Кузенко\AppData\Roaming\Qvoron.tst
2019-03-04 16:43 - 2019-03-04 16:43 - 000821760 _____ () C:\Users\Кузенко\AppData\Local\Temp\rq.exe
Task: {10F28605-7F4E-4CA8-8454-B297329E4CAB} - \JLSktnhopmhFxt -> No File <==== ATTENTION
Task: {424D117D-63CA-444E-B0B7-4FE3B5BF8D36} - \QNMJEtYKScqTlLB2 -> No File <==== ATTENTION
Task: {85AA66F3-EA3A-461E-BB81-EC88EF7519FD} - \tFhvygztNQVmokWetdU2 -> No File <==== ATTENTION
Task: {C1BF3F91-C1C2-42B3-A352-0206F6CFEE08} - \MHsfjoHBjBJoAwMyz2 -> No File <==== ATTENTION
Task: {C1FC719A-B8FE-415A-9F9B-3B0EFFB5D607} - \Microsoft\Windows\Wininet\Wininet -> No File <==== ATTENTION
Task: {C3968DC1-5E55-46F8-A749-0B6A4EDEF78C} - \nwgunOXjCbxKL2 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\cJzHtsgsoXecpsR.job => C:\Program Files (x86)\cRwPWqtmU\YwKsCJ.dll
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**Crazzzy** · 11.03.2019, 09:21

Проблема актуальна.

**thyrex** · 11.03.2019, 18:36

Сделайте лог МВАМ

**Crazzzy** · 12.03.2019, 08:57

Сделано. Но это скорее следствие, чем причина. После чистки троян всё равно накачает ещё кучу.

**thyrex** · 12.03.2019, 20:40

Поместите в карантин МВАМ все, кроме

Код:

RiskWare.CHP, C:\USERS\Кузенко\APPDATA\LOCAL\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE, Проигнорировано пользователем, [14506], [278738],1.0.9646

**Crazzzy** · 13.03.2019, 08:28

Безымянный.png
Троян на месте.

**thyrex** · 13.03.2019, 20:04

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку антивирусом и сообщите результат.

Касперский не лечит заражение троян в system memory (заявка № 222170)

Опции темы