0 / 0 / 0
Регистрация: 09.05.2017
Сообщений: 5
1

MEM:Rootkit.Win64.EquationDrug.a

09.05.2017, 02:52. Показов 8478. Ответов 9
Метки нет (Все метки)

Проблема сходная с проблемой автора темы Невозможно удалить multi.generic файл, появляется вновь
Раз в пару часов случается одно из трех событий
- KAV находит в памяти MEM:Rootkit.Win64.EquationDrug.a (и удаляет его оттуда без ребута). Проверка дисков результатов не дает.
- Появляется системное сообщение о критической ошибке и перезагрузке через минуту, через минуту следует перезагрузка.
- BSOD 0x....50
При этом во временной папке IE и в корне системного диска могут появляться разнообразные мэлвари.
В течении трех дней пытался самостоятельно найти дроппер или отследить внешнюю атаку. Не смог.
В аттаче - логи autologer`a и farbar`а
Вложения
Тип файла: rar farbar.rar (90.6 Кб, 4 просмотров)
Тип файла: zip CollectionLog-2017.05.08-12.00.zip (128.8 Кб, 2 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
09.05.2017, 02:52
Ответы с готовыми решениями:

Самовозобновляющийся MEM:Trojan.Win64.EquationDrug.gen
Здравствуйте. Начал греться при включенном интернете. Наверное майнер. Температуры ЦП 83 °C ...

Троян MEM:Trojan.Win64.EquationDrug.gen
Здравствуйте, поймал троян MEM:Trojan.Win64.EquationDrug.gen. Касперский ругается постоянно, просит...

Каспер не лечит MEM:Trojan.Win64.EquationDrug.gen
Добрый день! Прошу помочь вылечить компьютер - Каспер не справляется. Пишет - "обнаружено...

MEM:Rootkit.Win32.TDSS.d
По тупости одного нехорошего человека, имею сабж. Как бороться?

9
Вирусоборец
3832 / 2063 / 327
Регистрация: 04.04.2012
Сообщений: 7,602
09.05.2017, 13:46 2
Дождитесь ответа на форуме Касперского, возможно ложное срабатывание, и выполняйте все их требования. В этих логах - чисто
0
0 / 0 / 0
Регистрация: 09.05.2017
Сообщений: 5
09.05.2017, 15:03  [ТС] 3
Спс за реакцию и, тем более, за изучение логов, но даже, если срабатывание каспера ложное, то как объяснить начавшие появляться с этого же момента перезагрузки, мэлвари и стоп-50?
0
Вирусоборец
3832 / 2063 / 327
Регистрация: 04.04.2012
Сообщений: 7,602
09.05.2017, 15:24 4
Давайте почистим мусор, потом вам ответят в Касперском, потом решим, что можно еще сделать.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: G - G:\AUTOPLAY.EXE "ЛогоМиры 3.exe" "{9E66AC06-B476-4CDC-9F8C-E36D43FEE48C}"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {0cda43a1-1f7b-11e7-9ee9-00e052fe8ad9} - "I:\Install Rostelecom Internet.exe"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {3d07a0c4-cc48-11e6-bb90-00e052fe8ad9} - H:\DTVP_Launcher.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {46e6cc32-1fbe-11e6-bacf-00e052fe8ad9} - G:\AUTOPLAY.EXE "ЛогоМиры 3.exe" "{9E66AC06-B476-4CDC-9F8C-E36D43FEE48C}"
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {46e6cc39-1fbe-11e6-bacf-00e052fe8ad9} - H:\autorun.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {6761e3d8-1f28-11e6-8831-806e6f6e6963} - F:\AUTORUN.EXE
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {b2b84d2a-8621-11e2-ba67-00138fd7996f} - F:\autorun\autorun.exe
HKU\S-1-5-21-3493131990-2338554848-777839221-1000\...\MountPoints2: {b77afb10-08c2-11e2-b29b-806e6f6e6963} - G:\AUTORUN.EXE
GroupPolicy: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-3493131990-2338554848-777839221-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-3493131990-2338554848-777839221-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Handler: WSISVCUchrome - No CLSID Value
CHR HKU\S-1-5-21-3493131990-2338554848-777839221-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jndeiekmdhemaggmkgljlpdeaomeplbp] - C:\Users\uk\AppData\Local\CRE\jndeiekmdhemaggmkgljlpdeaomeplbp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jndeiekmdhemaggmkgljlpdeaomeplbp] - C:\Users\uk\AppData\Local\CRE\jndeiekmdhemaggmkgljlpdeaomeplbp.crx <not found>
StartMenuInternet: Google Chrome.E334SMIPEPFKQX4YD5X7EV7ZMQ - C:\Users\uk\AppData\Local\Google\Chrome\Application\chrome.exe
AlternateDataStreams: C:\Program Files\Common Files\System:n8LU57H82hctYlkora2iUKO [2188]
AlternateDataStreams: C:\ProgramData\Microsoft:6NsOTWvCY1DeKhre6DkbkHjBC [2046]
AlternateDataStreams: C:\ProgramData\Microsoft:DjiYA1jDgbZOvxWUehQO8 [2282]
AlternateDataStreams: C:\ProgramData\Microsoft:qpLoQhjrWtfBj5XjZpXvY [1980]
AlternateDataStreams: C:\ProgramData\TEMP:07BB519E [140]
AlternateDataStreams: C:\ProgramData\TEMP:516550B9 [228]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [282]
AlternateDataStreams: C:\ProgramData\TEMP:93C2F41D [187]
AlternateDataStreams: C:\ProgramData\TEMP:F4CA4D70 [458]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:6NsOTWvCY1DeKhre6DkbkHjBC [2046]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:DjiYA1jDgbZOvxWUehQO8 [2282]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:qpLoQhjrWtfBj5XjZpXvY [1980]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BB519E [140]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:516550B9 [228]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:93C2F41D [187]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F4CA4D70 [458]
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически
0
0 / 0 / 0
Регистрация: 09.05.2017
Сообщений: 5
09.05.2017, 16:10  [ТС] 5
Спс, сделал. Кэш браузеров, конечно, надо было удалить, вы совершенно правы. Не совсем понял смысл удаления записей об автозапуске флешек, удаленном плагине и, тем более - меток ADS. Файлы в ads я вчера уже сам искал (не нашел). А про эти маленькие строчки думал, что это не более, чем служебные метки, или они могут использоваться, как указатели, зашифрованные url и т.п.?
Вложения
Тип файла: rar Fixlog.rar (3.0 Кб, 1 просмотров)
0
Вирусоборец
3832 / 2063 / 327
Регистрация: 04.04.2012
Сообщений: 7,602
09.05.2017, 16:16 6
Больше плохого не видно, давайте проверим обновления программ, подготовьте логи SecurityCheck by glax24: https://safezone.cc/resources/... ersion=895
0
0 / 0 / 0
Регистрация: 09.05.2017
Сообщений: 5
09.05.2017, 16:39  [ТС] 7
логи SecurityCheck
Вот
Вложения
Тип файла: rar SecurityCheck.rar (2.9 Кб, 3 просмотров)
0
Вирусоборец
3832 / 2063 / 327
Регистрация: 04.04.2012
Сообщений: 7,602
09.05.2017, 16:42 8
Исправляйте, обновляйте, а то никакой антивирус не поможет:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Дата установки обновлений: 2014-10-24 10:14:42

Учетная запись гостя включена. Пароль не установлен.

WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 12 v.12.0.72365 Внимание! Скачать обновления

Telegram Desktop version 1.0.2 v.1.0.2 Внимание! Скачать обновления
^Необязательное обновление.^
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления
^Необязательное обновление.^

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^
Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

QuickTime 7 v.7.76.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Adobe AIR v.4.0.0.1390 Внимание! Скачать обновления
Adobe Flash Player 25 NPAPI v.25.0.0.148 Внимание! Скачать обновления
Adobe Flash Player 25 PPAPI v.25.0.0.148 Внимание! Скачать обновления

Google Chrome v.57.0.2987.133 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

The Bat! Professional v4.2.9 v.4.2.9 Внимание! Скачать обновления
0
0 / 0 / 0
Регистрация: 09.05.2017
Сообщений: 5
09.05.2017, 17:16  [ТС] 9
С вируснёй пока тишина, но вчера днем тоже тишина была, ночью началась бурная деятельность.
Ось обновлю, да, пора бы . В остальном не все так просто. IE, скайп, тимвьювер и телеграмм не используется в принципе, хром обновлен - я сам удивился, увидев в логе 57, это ошибка. И гость отключен, да. У джавы сегодняшнее обновление не успел поставить. ФФ, QuickTime и флэшплеер нужны именно этих версий, по крайней мере, не выше. И в интернет первые два не ходят. UAC отключил временно, для удобства, когда пляски начались. Rar и 7z не понимаю, зачем обновлять.
0
Вирусоборец
3832 / 2063 / 327
Регистрация: 04.04.2012
Сообщений: 7,602
09.05.2017, 17:23 10
Цитата Сообщение от ukdouble1 Посмотреть сообщение
Rar и 7z не понимаю, зачем обновлять

https://habrahabr.ru/company/eset/blog/300890/

https://habrahabr.ru/company/defconru/blog/267983/

Цитата Сообщение от ukdouble1 Посмотреть сообщение
не используется в принципе
Все что не используется - деинсталируется))
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.05.2017, 17:23
Помогаю со студенческими работами здесь

Касперский не справляется: MEM:Trojan.Win32.EquationDrug.gen
Здравствуйте. Касперский обнаружил вирус, MEM:Trojan.Win32.EquationDrug.gen, объект: системная...

MEM:Trojan.Win32.EquationDrug.gen в системной памяти
Здравствуйте! Недавно появилось окно Касперского: обнаружен MEM:Trojan.Win32.EquationDrug.gen в...

Касперский не справляется: MEM:Trojan.Win32.EquationDrug.gen
Каспер находит вирус, пишет что не может вылечить и требует перезагрузку, после перезагрузки вируса...

MEM:Trojan.Win32.EquationDrug.gen и еще несколько разных
Касперский выдает MEM:Trojan.Win32.EquationDrug.gen и периодически создаются папки Temp5 temp6,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru