MEM:Rootkit.Win64.EquationDrug.a

@ukdouble1 · Регистрация: 09.05.2017

Студворк — интернет-сервис помощи студентам

Проблема сходная с проблемой автора темы Невозможно удалить multi.generic файл, появляется вновь
Раз в пару часов случается одно из трех событий
- KAV находит в памяти MEM:Rootkit.Win64.EquationDrug.a (и удаляет его оттуда без ребута). Проверка дисков результатов не дает.
- Появляется системное сообщение о критической ошибке и перезагрузке через минуту, через минуту следует перезагрузка.
- BSOD 0x....50
При этом во временной папке IE и в корне системного диска могут появляться разнообразные мэлвари.
В течении трех дней пытался самостоятельно найти дроппер или отследить внешнюю атаку. Не смог.
В аттаче - логи autologer`a и farbar`а

@severnyj · 09.05.2017, 13:46

Дождитесь ответа на форуме Касперского, возможно ложное срабатывание, и выполняйте все их требования. В этих логах - чисто

@ukdouble1 · 09.05.2017, 15:03 **[ТС]**

Спс за реакцию и, тем более, за изучение логов, но даже, если срабатывание каспера ложное, то как объяснить начавшие появляться с этого же момента перезагрузки, мэлвари и стоп-50?

@severnyj · 09.05.2017, 15:24

Давайте почистим мусор, потом вам ответят в Касперском, потом решим, что можно еще сделать.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: G - G:\AUTOPLAY.EXE "ЛогоМиры 3.exe" "{9E66AC06-B476-4CDC-9F8C-E36D43FEE48C}"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {0cda43a1-1f7b-11e7-9ee9-00e052fe8ad9} - "I:\Install Rostelecom Internet.exe"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {3d07a0c4-cc48-11e6-bb90-00e052fe8ad9} - H:\DTVP_Launcher.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {46e6cc32-1fbe-11e6-bacf-00e052fe8ad9} - G:\AUTOPLAY.EXE "ЛогоМиры 3.exe" "{9E66AC06-B476-4CDC-9F8C-E36D43FEE48C}"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {46e6cc39-1fbe-11e6-bacf-00e052fe8ad9} - H:\autorun.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {6761e3d8-1f28-11e6-8831-806e6f6e6963} - F:\AUTORUN.EXE
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {b2b84d2a-8621-11e2-ba67-00138fd7996f} - F:\autorun\autorun.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {b77afb10-08c2-11e2-b29b-806e6f6e6963} - G:\AUTORUN.EXE
GroupPolicy: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-3493131990-2338554848-777839221-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-3493131990-2338554848-777839221-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: WSISVCUchrome - No CLSID Value
CHR HKU\S-1-5-21-3493131990-2338554848-777839221-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jndeiekmdhemaggmkgljlpdeaomeplbp] - C:\Users\uk\AppData\Local\CRE\jndeiekmdhemaggmkgljlpdeaomeplbp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jndeiekmdhemaggmkgljlpdeaomeplbp] - C:\Users\uk\AppData\Local\CRE\jndeiekmdhemaggmkgljlpdeaomeplbp.crx <not found>
StartMenuInternet: Google Chrome.E334SMIPEPFKQX4YD5X7EV7ZMQ - C:\Users\uk\AppData\Local\Google\Chrome\Application\chrome.exe
AlternateDataStreams: C:\Program Files\Common Files\System:n8LU57H82hctYlkora2iUKO [2188]
AlternateDataStreams: C:\ProgramData\Microsoft:6NsOTWvCY1DeKhre6DkbkHjBC [2046]
AlternateDataStreams: C:\ProgramData\Microsoft:DjiYA1jDgbZOvxWUehQO8 [2282]
AlternateDataStreams: C:\ProgramData\Microsoft:qpLoQhjrWtfBj5XjZpXvY [1980]
AlternateDataStreams: C:\ProgramData\TEMP:07BB519E [140]
AlternateDataStreams: C:\ProgramData\TEMP:516550B9 [228]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [282]
AlternateDataStreams: C:\ProgramData\TEMP:93C2F41D [187]
AlternateDataStreams: C:\ProgramData\TEMP:F4CA4D70 [458]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:6NsOTWvCY1DeKhre6DkbkHjBC [2046]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:DjiYA1jDgbZOvxWUehQO8 [2282]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:qpLoQhjrWtfBj5XjZpXvY [1980]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BB519E [140]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:516550B9 [228]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:93C2F41D [187]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F4CA4D70 [458]
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@ukdouble1 · 09.05.2017, 16:10 **[ТС]**

Спс, сделал. Кэш браузеров, конечно, надо было удалить, вы совершенно правы. Не совсем понял смысл удаления записей об автозапуске флешек, удаленном плагине и, тем более - меток ADS. Файлы в ads я вчера уже сам искал (не нашел). А про эти маленькие строчки думал, что это не более, чем служебные метки, или они могут использоваться, как указатели, зашифрованные url и т.п.?

@severnyj · 09.05.2017, 16:16

Больше плохого не видно, давайте проверим обновления программ, подготовьте логи SecurityCheck by glax24: https://safezone.cc/resources/... ersion=895

@ukdouble1 · 09.05.2017, 16:39 **[ТС]**

логи SecurityCheck

Вот

@severnyj · 09.05.2017, 16:42

Исправляйте, обновляйте, а то никакой антивирус не поможет:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Дата установки обновлений: 2014-10-24 10:14:42

Учетная запись гостя включена. Пароль не установлен.

WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 12 v.12.0.72365 Внимание! Скачать обновления

Telegram Desktop version 1.0.2 v.1.0.2 Внимание! Скачать обновления
^Необязательное обновление.^
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления
^Необязательное обновление.^

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^
Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

QuickTime 7 v.7.76.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Adobe AIR v.4.0.0.1390 Внимание! Скачать обновления
Adobe Flash Player 25 NPAPI v.25.0.0.148 Внимание! Скачать обновления
Adobe Flash Player 25 PPAPI v.25.0.0.148 Внимание! Скачать обновления

Google Chrome v.57.0.2987.133 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

The Bat! Professional v4.2.9 v.4.2.9 Внимание! Скачать обновления

@ukdouble1 · 09.05.2017, 17:16 **[ТС]**

С вируснёй пока тишина, но вчера днем тоже тишина была, ночью началась бурная деятельность.
Ось обновлю, да, пора бы

. В остальном не все так просто. IE, скайп, тимвьювер и телеграмм не используется в принципе, хром обновлен - я сам удивился, увидев в логе 57, это ошибка. И гость отключен, да. У джавы сегодняшнее обновление не успел поставить. ФФ, QuickTime и флэшплеер нужны именно этих версий, по крайней мере, не выше. И в интернет первые два не ходят. UAC отключил временно, для удобства, когда пляски начались. Rar и 7z не понимаю, зачем обновлять.

@severnyj · 09.05.2017, 17:23

Сообщение от ukdouble1

Rar и 7z не понимаю, зачем обновлять

https://habrahabr.ru/company/eset/blog/300890/

https://habrahabr.ru/company/defconru/blog/267983/

Сообщение от ukdouble1

не используется в принципе

Все что не используется - деинсталируется))

@severnyj 3865 / 2085 / 338 Регистрация: 04.04.2012 Сообщений: 7,668
	09.05.2017, 13:46	2
	Дождитесь ответа на форуме Касперского, возможно ложное срабатывание, и выполняйте все их требования. В этих логах - чисто 0

@ukdouble1 0 / 0 / 0 Регистрация: 09.05.2017 Сообщений: 5
	09.05.2017, 15:03 [ТС]	3
	Спс за реакцию и, тем более, за изучение логов, но даже, если срабатывание каспера ложное, то как объяснить начавшие появляться с этого же момента перезагрузки, мэлвари и стоп-50? 0

@severnyj 3865 / 2085 / 338 Регистрация: 04.04.2012 Сообщений: 7,668
	09.05.2017, 16:16	6
	Больше плохого не видно, давайте проверим обновления программ, подготовьте логи SecurityCheck by glax24: https://safezone.cc/resources/... ersion=895 0

@severnyj 3865 / 2085 / 338 Регистрация: 04.04.2012 Сообщений: 7,668
	09.05.2017, 16:42	8
	Исправляйте, обновляйте, а то никакой антивирус не поможет: Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Дата установки обновлений: 2014-10-24 10:14:42 Учетная запись гостя включена. Пароль не установлен. WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления 7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ TeamViewer 12 v.12.0.72365 Внимание! Скачать обновления Telegram Desktop version 1.0.2 v.1.0.2 Внимание! Скачать обновления *^Необязательное обновление.^* Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления *^Необязательное обновление.^* Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^ Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^ Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^ QuickTime 7 v.7.76.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. Adobe AIR v.4.0.0.1390 Внимание! Скачать обновления Adobe Flash Player 25 NPAPI v.25.0.0.148 Внимание! Скачать обновления Adobe Flash Player 25 PPAPI v.25.0.0.148 Внимание! Скачать обновления Google Chrome v.57.0.2987.133 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ The Bat! Professional v4.2.9 v.4.2.9 Внимание! Скачать обновления 0

@ukdouble1 0 / 0 / 0 Регистрация: 09.05.2017 Сообщений: 5
	09.05.2017, 17:16 [ТС]	9
	С вируснёй пока тишина, но вчера днем тоже тишина была, ночью началась бурная деятельность. Ось обновлю, да, пора бы . В остальном не все так просто. IE, скайп, тимвьювер и телеграмм не используется в принципе, хром обновлен - я сам удивился, увидев в логе 57, это ошибка. И гость отключен, да. У джавы сегодняшнее обновление не успел поставить. ФФ, QuickTime и флэшплеер нужны именно этих версий, по крайней мере, не выше. И в интернет первые два не ходят. UAC отключил временно, для удобства, когда пляски начались. Rar и 7z не понимаю, зачем обновлять. 0

@severnyj 3865 / 2085 / 338 Регистрация: 04.04.2012 Сообщений: 7,668
	09.05.2017, 17:23	10
	Сообщение от ukdouble1 Rar и 7z не понимаю, зачем обновлять https://habrahabr.ru/company/eset/blog/300890/ https://habrahabr.ru/company/defconru/blog/267983/ Сообщение от ukdouble1 не используется в принципе Все что не используется - деинсталируется)) 1

Опции темы