Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
1

Как удалить троян SteamClient.exe, Client.exe?

09.05.2018, 21:25. Просмотров 904. Ответов 10
Метки нет (Все метки)

Вчера мой Avast сообщил о нахождении руткита по пути C:\Windows\HhSm\services.exe, и предложил сделать "сканирование перед загрузкой" (из под boot). Я так и поступил.
Этот services.exe был удален, но папка HhSm осталась, и в ней я обнаружил еще пару ехе-шников под именем Client.exe и SteamClient.exe вместе с конфигами.
Примечательно что никакого Стим-клиента у меня нет, и никогда не было, ибо я в лицухи не гамаю.
В одном из конфигов из этой папки я обнаружил команду на создание еще одного SteamClient.exe по пути C:\Windows\min\SteamClient.exe
В диспетчере задач нашел два процесса с аналогичными именами, которые легко убиваются, но после перезагрузки восстанавливаются.
После создания лога в папке HhSm появился еще один текстовый файл со странным списком exe-шников и разних путей, которых у меня нет (по крайне мере не было), среди которых путь с именем профиля какого то Владимира...
Пока я печатал это сообщение антивирус впервые за три года закричал об угрозе!

Помогите избавиться ото этой лабуды. Лог и скриншоты прилагаю. Всю нужную инфу предоставлю. Пишите. Win7/64

Кликните здесь для просмотра всего текста
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?


CollectionLog-2018.05.09-19.09.zip
0
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.05.2018, 21:25
Ответы с готовыми решениями:

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe. Словил вирус bizigames
Доброго времени суток. Захотел я почистить комп от мусора всякого при помощи...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe Дублируются процессы
Добрый день) не запускались экзешники перечисленные в топе, исправила кое как...

Не запускаются AVZ. exe, CCleaner. exe, AutoLogger. exe, regedit. exe
Доброе время суток. У меня такая проблема: Не запускаются AVZ. exe, CCleaner....

Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe
Проблема заключается в том что у меня на компьютере в диспетчере задач стоят...

вирус calc.exe*32 notepad.exe*32 cmd.exe cannhost.exe
Здравствуйте. помогите решить проблему. При включении компьютера висят процессы...

10
thyrex
Вирусоборец
7347 / 4895 / 768
Регистрация: 06.09.2009
Сообщений: 19,560
10.05.2018, 06:25 2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\hhsm\client.exe');
 TerminateProcessByName('C:\Windows\min\SteamClient.exe'); SetServiceStart('AdobeFlashPlayerHash', 4);
 SetServiceStart('Rundll', 4);
 QuarantineFile('C:\ProgramData\temp1.exe','');
 QuarantineFile('C:\Windows\services.exe','');
 QuarantineFile('C:\Windows\min\SteamClient.exe','');
 QuarantineFile('c:\windows\hhsm\client.exe','');
 DeleteFile('c:\windows\hhsm\client.exe','32');
 DeleteFile('C:\Windows\min\SteamClient.exe','32');
 DeleteFile('C:\Windows\services.exe','64');
 DeleteFile('C:\ProgramData\temp1.exe','32');
 DeleteService('Rundll');
 DeleteService('AdobeFlashPlayerHash');
DeleteFileMask('C:\Windows\min', '*', true);
DeleteDirectory('C:\Windows\min');
DeleteFileMask('C:\Windows\HhSm', '*', true);
DeleteDirectory('C:\Windows\HhSm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
12.05.2018, 20:24  [ТС] 3
Доброго времени суток. Спасибо за рассмотрение проблеммы. Сейчас попробую, и отпишусь.
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
12.05.2018, 23:45  [ТС] 4
Итак, в ходе выполнения скрипта неожиданно словил BSOD. Со второй попытки - то же самое, только файлы причины разные. На всякий случай упаковал минидампы, и прилагаю к сообщению вместе со скринами с инфой из BlueScreenView под спойлером.
Кликните здесь для просмотра всего текста

Выполнить скрипт без ошибки удалось только в безопасном режиме.
Может ли это быть следствием реакции трояна на скрипт AVZ, или же это следствие каких то системных конфликтов, не имеющих к вирусу отношения?

Карантин отправил через форму.

Если это поможет, в дополнение могу сказать, что перед выполнением скрипта (вчера) обнаружил исчезновение процесса SteamClient.exe из диспетчера задач, и его поимку Авастом уже в другом месте, по пути C:\Users\PRIME\AppData\Roaming\Steam\Reversed, где он находится и сейчас, но процессов в диспетчере не создавалось.
У меня модемное соединение, и при каждом подключении он пытался влезть в интернет. Скрины:
Кликните здесь для просмотра всего текста
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?
Как удалить троян SteamClient.exe, Client.exe?

После выполнения скрипта пока все тихо, но вышеназванные остатки настораживают.
Очень надеюсь на вашу помощь.
Новые логи выполнял без доступа в интернет.
0
Вложения
Тип файла: zip CollectionLog-2018.05.12-22.11.zip (51.6 Кб, 2 просмотров)
thyrex
Вирусоборец
7347 / 4895 / 768
Регистрация: 06.09.2009
Сообщений: 19,560
13.05.2018, 12:27 5
Скачайте Farbar Recovery Scan Tool https://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
https://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
14.05.2018, 01:36  [ТС] 6
Готово
FRST Reports.zip
Что касается дров - я год назад отключил проверку цифровых подписей драйверов через командную строку (так называемый "Тестовый режим Win7"). Такие дела ... Приходится по необходимости
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
16.05.2018, 06:48  [ТС] 7
Эта чешуя лезет во все щели! Файрфокс при запуске жрет трафик пока интернет не выдернешь и мешает загрузке страниц! Антивирус опять кричит. Эту заразу ваще реально выковырять, или как? Просто сносить винду и все проги заново ставить - это вот ваще совсем не вариант. Я могу найти и удалить все его файлы и папки, но мне не хватает знаний чтобы найти в реестре откуда у него ноги растут, я ни разу не программист. Помогите.
0
thyrex
Вирусоборец
7347 / 4895 / 768
Регистрация: 06.09.2009
Сообщений: 19,560
16.05.2018, 20:34 8
Проблема появляется только при работе в Firefox?
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
18.05.2018, 16:10  [ТС] 9
Вроде того. Проблема появилась после обновления файрфокс. Имеется ввиду снос старого, зачистка хвостов и ручная установка нового начисто (вместе с расширениями). При запуске он пожирает трафик. Выглядит это так:
Кликните здесь для просмотра всего текста
Как удалить троян SteamClient.exe, Client.exe?

Так продолжается около 5 минут после каждого запуска FF, или пока не выдернуть интернет.

Скриншот экрана сетевой активности этот форум какого то лешего загружать не хочет. А там видно что при запуске FF лезет на какие то домены с сомнительными названиями.ru, и их очень много.
Но уже сегодня файрфокс никуда не лезет ПОТОМУ ЧТО ЗДОХ НАПРОЧ, и не открывает никакие страницы ваще. Это тот, что я установил несколько дней назад, ля! Начисто, ля!
0
BOGDANPRIME
0 / 0 / 0
Регистрация: 12.05.2017
Сообщений: 8
08.06.2018, 01:19  [ТС] 10
Короче, все, чем помог мне этот чудо "специалист" - тупо намалевал скрипт на удаление тех файлов, которые я показал. Мда... Которые я своими силами, как мог отследил, нашел, и предоставил на описание в теме. Молодец конечно, но с тем же успехом я мог бы нажать "Shift+Delete" и не ожидать чудес программирования, и тем более "профессиональной" помощи, о которой тут и речи быть не может.
Производить поиск связей между файлами, так же как и искать вирусные ключи в реестре таким "проффесорам" не под силу, как оказалось.
Оно и не мудрено - тот, кто явно умеет одолеть трояна - вряд ли работает простым сисадмином, и точно не высиживает на таких форумах. Чаще всего "специалистами" тут являются простые студенты, пытающиеся набраться опыта, и хватающиеся за то, в чем еще не разбираются.
0
thyrex
Вирусоборец
7347 / 4895 / 768
Регистрация: 06.09.2009
Сообщений: 19,560
09.06.2018, 07:51 11
Лучший ответ Сообщение было отмечено Sandor как решение

Решение

Ну если Вы позиционируете себя "мегамозгом", то что же не справились сами, а прибежали сюда? После прочтения "потока сознания" от подобных Вам у меня нет никакого желания помогать им дальше, ибо я не обязан сидеть сутками на форуме, боясь пропустить какую-то из взятых тем.

Используемые в разделе утилиты никоим образом не помогают установить все связи потенциальных вредоносов с записями в реестре. Это касается и бездумно устанавливаемых расширений для браузера. Кроме того, оказывать помощь с помощью утилит удаленного управления не в наших правилах.

Рад, что Avast наконец разрешил Вам выйти в интернет с любимого браузера. Прощайте.
2
09.06.2018, 07:51
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
09.06.2018, 07:51

tyol.exe, zcfh.exe, gphboo.exe, djjqs.exe
Выкладываю логи. Все перечисленные в названии файлы обитают в...

Svchost.exe, onion.exe, openvg.exe torrc и куча dll и cl, а также папка tor в Roaming

Троян nvm.dll , mss_update.exe в автозагрузке
Раньше постоянно появлялся вирус mss_update.exe в папке...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Закрытая тема Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru