santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Троянская программа DOC001.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 13:49:50

возможно, какой то из зараженных компьютеров не дочищен до конца, и он по новой раскидывает по расшаренным ресурсам вредоносный файл.
какое количество компьютеров у вас в сети?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 12:35:33

судя, по логу tdsskiller возможно есть скрытые сервисы:

Цитата
12:07:55.0296 0x11e8 Suspicious service (Hidden): Ms7DB53800App 12:07:55.0390 0x11e8 [ 21DE4ABBC865EE357D34FC2BD3237F4A, 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B ] Ms7DB53800App C:\Windows\System32\Ms7DB53800App.dll 12:07:55.0390 0x11e8 Suspicious file ( Hidden ): C:\Windows\System32\Ms7DB53800App.dll. md5: 21DE4ABBC865EE357D34FC2BD3237F4A, sha256: 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B 12:07:55.0405 0x11e8 Ms7DB53800App - detected HiddenService.Multi.Generic ( 1 ) 12:08:02.0534 0x11e8 Detect turned to UDS exact due to KSN untrusted 12:08:02.0612 0x11e8 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - infected 12:08:02.0612 0x11e8 Force sending object to P2P due to detect: Ms7DB53800App 12:08:42.0331 0x11e8 ============================================================ 12:08:42.0331 0x11e8 Scan finished 12:08:42.0331 0x11e8 ============================================================ 12:08:42.0357 0x1798 Detected object count: 1 12:08:42.0358 0x1798 Actual detected object count: 1 12:10:25.0914 0x1798 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - skipped by user 12:10:25.0914 0x1798 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - User select action: Skip 12:10:30.0095 0x1578 Deinitialize success

Цитата

12:07:55.0296 0x11e8 Suspicious service (Hidden): Ms7DB53800App
12:07:55.0390 0x11e8 [ 21DE4ABBC865EE357D34FC2BD3237F4A, 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B ] Ms7DB53800App C:\Windows\System32\Ms7DB53800App.dll
12:07:55.0390 0x11e8 Suspicious file ( Hidden ): C:\Windows\System32\Ms7DB53800App.dll. md5: 21DE4ABBC865EE357D34FC2BD3237F4A, sha256: 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B
12:07:55.0405 0x11e8 Ms7DB53800App - detected HiddenService.Multi.Generic ( 1 )
12:08:02.0534 0x11e8 Detect turned to UDS exact due to KSN untrusted
12:08:02.0612 0x11e8 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - infected
12:08:02.0612 0x11e8 Force sending object to P2P due to detect: Ms7DB53800App

12:08:42.0331 0x11e8 ============================================================
12:08:42.0331 0x11e8 Scan finished
12:08:42.0331 0x11e8 ============================================================
12:08:42.0357 0x1798 Detected object count: 1
12:08:42.0358 0x1798 Actual detected object count: 1
12:10:25.0914 0x1798 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - skipped by user
12:10:25.0914 0x1798 Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - User select action: Skip
12:10:30.0095 0x1578 Deinitialize success

пробуйте сделать образ автозапуска из под Winpe&uVS,
https://forum.esetnod32.ru/forum27/topic2102/

должны быть видны скрытые сервисы, при создании образа автозапуска из под Winpe

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 12:01:58

+
лог этой утилиты добавьте:

Цитата
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10). Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Цитата

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:57:07

сделайте проверку этой утилитой
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте, если будет что-то обнаружено,
добавьте лог проверки, он должен быть в корне диска C

[ Как создать образ автозапуска? ]

Перейти

Троянская программа DOC001.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:47:30

@Евгений Смотров,

версия антивируса у вас очень устаревшая,
C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE
4.0.437.0
не поддерживается на текущий момент,
возможно и базы для этой версии не выпускаются.
есть такая возможность у вас установить актуальные версии антивируса?

[ Как создать образ автозапуска? ]

Перейти

При сканировании по требованию антивирус удаляет файлы, добавленные в исключения

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:30:09

напишите о проблеме в [email protected]

[ Как создать образ автозапуска? ]

Перейти

pusherism.com, Замучил. Как его удалить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:28:25

добавьте образ автозапуска
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:11:32

судя по наличию этих записей в реестре,

Цитата
%Sys32%\MSSECSVC2.0.EXE %SystemRoot%\MSSECSVR.EXE

возможно была и пресекается попытка установить шифратор WannaCry
+
вопрос: патч установлен сейчас?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 11:06:03

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE icsuspend regt 26 regt 25 ;------------------------autoscript--------------------------- apply deltmp delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_1528_8047\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID] delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %Sys32%\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref APPMGMT\[SERVICE] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\MSSECSVC2.0.EXE delref %SystemRoot%\MSSECSVR.EXE delref %Sys32%\PSXSS.EXE delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\32\WBOCX.OCX ;------------------------------------------------------------- restart

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
regt 26
regt 25
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_1528_8047\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\MSSECSVC2.0.EXE
delref %SystemRoot%\MSSECSVR.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\32\WBOCX.OCX
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2019 10:16:06

+ вопрос:
эта политика безопасности вам известна?

Цитата
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6527e655-cf51-4e27-8424-0f473d0762f5}

[ Как создать образ автозапуска? ]

Перейти