Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Enzzio
72 / 30 / 4
Регистрация: 29.05.2010
Сообщений: 478
Завершенные тесты: 1
1

Trojan.Win32.Blouiroet.gen + .Generic + .Blouiroet.kr

06.06.2018, 17:51. Просмотров 401. Ответов 6
Метки нет (Все метки)

Сегодня обнаружил на устройстве подозрительную активность, которой не было откуда взяться, так как никаких программ последнее время не ставил и также подозрительных процессов не запускал.

Подозрительными были след. процессы:
AdobeFlashPlayer.exe из папки SysWow64
g.exe оттуда же
svchost.exe из папки Windows

Средний файл появился сегодня, т.е. 6 июня 2018, остальные 29 мая 2018.

В настоящее время они остановлены и из папок выпилены. Веду изучение их возможностей и последствий.

В их числе возможно открытие в браузере следующих сайтов:
Кликните здесь для просмотра всего текста
https://www.input.com/
http://www.data!.com/
https://please.com/
https://try.com/
[url]http://www.again.com/[/url]
[url]https://later.com/[/url]
[url]http://www.and.com/[/url]
[url]http://www.if.com/[/url]
[url]http://www.this.com/[/url]
[url]http://www.problem.com/[/url]
[url]http://www.persist,.com/[/url]
[url]https://to.com/[/url]
[url]https://www.flexera.com/products/installation/[/url]
[url]https://latest.com/[/url]
[url]https://www.system.com/[/url]
[url]http://www.explorer./[/url]
[url]http://trakk.com/reserved/[/url]
[url]http://www.already.com/[/url]
[url]http://com.tv/[/url]
[url]http://www.explorer.com/[/url]
[url]http://www.then.com/[/url]
[url]https://enaming.com/contact-com/[/url]
[url]https://www.afternic.com/forsale/administrator.com?utm_source=TDFS&utm_medium=sn_affiliate_click&utm_campaign=TDFS_Affiliate_namefind_direct1&traffic_typ e=CL3&traffic_id=Namefind[/url]
[url]http://www.problem.com/[/url]
[url]http://www.persist,.com/[/url]
[url]https://enaming.com/contact-com/[/url]


На последствия их посещения я не беспокоюсь, так как браузер огорожен. Их следует пробить по базам.

Прошу не отвечать в теме, я пока не закончил.

Добавлено через 22 минуты
Kaspersky Application Advisor о AdobeFlashPlayer.exe, g.exe, svchost.exe.

Добавлено через 6 минут
Хм... меня смущает IE с приставкой *32, т.е. 32-битный в процессах на 64-битной винде.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
06.06.2018, 17:51
Ответы с готовыми решениями:

Trojan-Ransom.Win32.Gimemo.jhc, HEUR:Trojan.Win32.Generic
Здравствуйте, уважаемые господа вирусологи, прошу помощи в решении проблем с...

HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.Agent.silkhl
Поставил Kaspersky Free и он начал ругаться на вирусы. При чем лечил и удалял,...

не могу избавится от вируса TR/Crypt.XPACK.Gen ( по номенклатуры Авира) или Win32:Trojan-gen (по номенклатуры Аваста)...
не могу избавится от вируса TR/Crypt.XPACK.Gen ( по номенклатуры Авира) или...

trojan win32/vundo.gen!AW
Помогите удалить вирус trojan win32/vundo.gen!AW

trojan win32/vundo.gen!AW
Поймал вот такую штуку, пробовал целую кучу разных антивирусов - ни касперский,...

6
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
06.06.2018, 18:06 2
Добрый день. Для анализа нужны логи
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
Enzzio
72 / 30 / 4
Регистрация: 29.05.2010
Сообщений: 478
Завершенные тесты: 1
06.06.2018, 18:14  [ТС] 3
Имеются артефакты в изображении (мерцают мелкие квадраты), я полагаю, что причина в висящем dllhost.exe с параметром Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}. Убить не получилось. Для начала решил найти, что он гоняет.

Также подозреваю
taskeng.exe {3AE15B2A-32CD-4484-83F9-34581B62A047}
taskeng.exe {3C0A816E-C2A2-42B5-B365-9A49A727AEED}
0
Enzzio
72 / 30 / 4
Регистрация: 29.05.2010
Сообщений: 478
Завершенные тесты: 1
06.06.2018, 19:18  [ТС] 4
Я думаю, что почти чист, как попка младенца.
0
Вложения
Тип файла: zip CollectionLog-2018.06.06-19.07.zip (109.1 Кб, 1 просмотров)
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
06.06.2018, 21:16 5
Driver Genius и Easy Driver Pro, advanced SystemCare- лучше деинсталировать
Доверенную зону сами редактировали?
O15 - Trusted Zone: HKCU - http://alisoft.com
O15 - Trusted Zone: HKCU - http://taobao.com
O15 - Trusted Zone: HKCU - https://alipay.com
O15 - Trusted Zone: HKCU - https://alisoft.com
O15 - Trusted Zone: HKCU - https://taobao.com

В логе HJT проверьте все ли записи O17, все ли вносились вами

MySQL - проверьте пользователей, все ли легитимны

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код
      begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     SetServiceStart('AdobeFlashPlayerHash', 4);
     SetServiceStart('Rundll', 4);
     QuarantineFile('C:\Users\Paul\Downloads\dxwebsetup(1).exe', '');
     QuarantineFile('C:\Users\Paul\Downloads\Hamachi.msi', '');
     QuarantineFile('C:\Windows\svchost.exe', '');
     QuarantineFile('C:\Windows\svchost.exe\servicemanager.pyd', '');
     QuarantineFile('C:\Windows\SysWOW64\AdobeFlashPlayer.exe', '');
     DeleteFile('C:\Windows\svchost.exe', '64');
     DeleteFile('C:\Windows\svchost.exe\servicemanager.pyd', '64');
     DeleteService('AdobeFlashPlayerHash');
     DeleteService('Rundll');
     BC_Activate;
      ExecuteSysClean;
      ExecuteWizard('SCU', 2, 3, true);
     BC_ImportALL;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
[*] "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
[/LIST]
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
1
Enzzio
72 / 30 / 4
Регистрация: 29.05.2010
Сообщений: 478
Завершенные тесты: 1
07.06.2018, 23:19  [ТС] 6
akok, программы давно стоят. Без меня они не рыпаются. Доверенная зона, как я понял, принадлежит Касперскому. У меня его нет, полагаю, что от этих строк ни холодно, ни жарко. Есть программы от Ali.

dxwebsetup(1).exe - глюк. У меня нет такого файла. Был в прошлом, т.к. порядок той папке не наводится.
C:\Windows\svchost.exe\servicemanager.pyd - не совсем понял, как это. Pyd находится внутри .exe или внутри папки svchost.exe?

Карантин я не знаю, как возможно отправить. Потому что, как писал выше, уже эти файлы выпилены (копия есть). Не буду же я очевидной малвари сидеть в процесса. Если эти файлы даст дополнительную информацию, то как их отправить без AVZ?

С сервисом AdobeFlashPlayer.exe интересно получилось. В диспетчере задач он имеет имя ...Hash, а в администрировании Service. Почему?

По сути я скрипт AVZ сделал сразу, неактуально:
Код
SetServiceStart('AdobeFlashPlayerHash', 4);
 SetServiceStart('Rundll', 4);
 QuarantineFile('C:\Users\Paul\Downloads\dxwebsetup(1).exe', '');
 QuarantineFile('C:\Users\Paul\Downloads\Hamachi.msi', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\svchost.exe\servicemanager.pyd', '');
 QuarantineFile('C:\Windows\SysWOW64\AdobeFlashPlayer.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '64');
 DeleteFile('C:\Windows\svchost.exe\servicemanager.pyd', '64');
 DeleteService('AdobeFlashPlayerHash');
 DeleteService('Rundll');
Добавлено через 3 минуты
Hamachi чистый. И всё же интересно, чем он провинился? Как и про Driver Genius и Easy Driver Pro, advanced SystemCare хочется узнать.

Добавлено через 17 минут
После сна/гибернации артефакты не проявлялись. Интернет также отсутствовал.
0
Enzzio
72 / 30 / 4
Регистрация: 29.05.2010
Сообщений: 478
Завершенные тесты: 1
17.08.2018, 17:06  [ТС] 7
Поднимаю тему, потому что было не долечено. Позавчера обнаружен Trojan.Siggen7.34439 (именование Dr.Web) или Trojan.Win32.Blouiroet.la (именование Kaspersky). Были найдены:
https://www.virustotal.com/en/file/8...8640/analysis/
https://www.virustotal.com/en/file/3...is/1534512430/ или https://online2.drweb.com/cache/?i=2873cea3f1cdeee2b746a9d532ddb16e

Была удалена служба AdobeFlashPlayer (audiodg.exe). Второй файл я нашел сам. Он, кстати, от 2 июня, т.е. до создания темы, а значит, что не был обнаружен в этой теме почему-то.
0
17.08.2018, 17:06
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
17.08.2018, 17:06

Лечение Win32:Trojan-gen
У меня заразилась флэшка и теперь папки имеют расширение exe, я вставила флэшку...

Trojan:Win32/Anomaly.gen!A
После полной проверки компьютера антивирусом вот такой результат. Что это? Это...

Trojan:Win32/Vundo.gen!AW
Здравствуйте, помогите пожалуйста избавиться от трояна! Вчера вечером windows...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru