Зловред stantinko

[vil 0]

Здравствуйте!

Прошу помощи в удалении stantinko. Отец принес ноут с работы, говорит, что подвисает периодически. Проверил установлен касперский ендпоинт секюрити, нашел stantinko, лечил с перезагрузкой, после перезагрузки появился снова. Проверил с помощью KVRT, опять попробовал удалить. После полной проверки KVRT было обнаружено 63 угрозы, нейтрализовал с перезагрузкой. Stantinko вылез опять(((

CollectionLog-2018.10.17-11.25.zip

[regist 617]

Здравствуйте!

WinZip 15.0 [20121016]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240CF}

деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\3671~1\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Оксана\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\windows\TEMP\clearcache.dll', '');
 QuarantineFileF('c:\users\3671~1\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Оксана\AppData\LocalLow\DuckGo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\3671~1\AppData\Roaming\curl\curl.exe', '64');
 DeleteFile('C:\Users\Оксана\Favorites\Links\Интернет.url');
 DeleteFile('C:\windows\TEMP\clearcache.dll', '');
 DeleteFileMask('c:\users\3671~1\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\3671~1\appdata\roaming\curl');
 DeleteSchedulerTask('curls');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[vil 0]

Спасибо за оперативный ответ!

WinZip удалил.

Файл отправил, KLAN-8938327801

 

ClearLNK-2018.10.17_12.58.42.log

CollectionLog-2018.10.17-13.10.zip

[regist 617]

 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

а вы только KLAN сообщили.

[vil 0]

простите..

исправляюсь

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Интернет.url
clearcache.dll
wget_1_19_4.exe
duckgo.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[regist 617]

1)

Disco Browser [2017/07/14 09:35:35]-->"C:\Program Files (x86)\Disco Browser\uninstall.bat" /del

деинсталируйте.

2)

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

3)

В антивирусных базах информация по присланным вами файлам отсутствует:

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

Изменено 17 октября, 2018 пользователем regist

[vil 0]

Disco Browser [2017/07/14 09:35:35]-->"C:\Program Files (x86)\Disco Browser\uninstall.bat" /del

При удалении выдал ошибку, удалил из списка установленных программ. По указанному пути папку не нашел.

 

AdwCleanerS00.txt

[regist 617]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[vil 0]

Отчет. Как я понял, C00 - это номер сканирования, так что прикрепил последнее по времени

AdwCleanerC04.txt

[regist 617]

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

Ещё раз свежие логи по правилам сделайте.

[vil 0]

выполнено

CollectionLog-2018.10.18-14.42.zip

[regist 617]

Здравствуйте!

 

@vil, базы в антивирусе обновляются? Обнаружение нежелательных программ включено? По вашему прошлому карантину на следующий день детект добавили. Уже и антивирус должен был пролечить.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Оксана\AppData\LocalLow\DuckGo\duckgo.dll', '');
 QuarantineFileF('C:\Users\Оксана\AppData\LocalLow\DuckGo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Оксана\AppData\LocalLow\DuckGo\duckgo.dll', '32');
 DeleteFileMask('C:\Users\Оксана\AppData\LocalLow\DuckGo\', '*', true);
 DeleteDirectory('C:\Users\Оксана\AppData\LocalLow\DuckGo\');
 DeleteSchedulerTask('{6BB4ECBB-93E5-45EF-A4CD-D8692D59B02B}');
 DelBHO('{96AF5545-BC30-4E5D-8E36-836D000A1455}');
 DelBHO('{E4625B55-9401-4B40-B5BA-9134A41BFAA0}');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2-32 - HKLM\..\BHO: DuckBarBHO - {E4625B55-9401-4B40-B5BA-9134A41BFAA0} - C:\Users\Оксана\AppData\LocalLow\DuckGo\duckgo.dll
O3-32 - HKLM\..\Toolbar: Duckgo - {96AF5545-BC30-4E5D-8E36-836D000A1455} - C:\Users\Оксана\AppData\LocalLow\DuckGo\duckgo.dll

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[vil 0]

Добрый день.

базы в антивирусе обновляются, обнаружение нежелательных программ включено. На время решения вопроса отключил ноут от интернета. Обновил базы. Провел полную проверку с лечением. Выполнил скрипт и пофиксил, 2 последних строк не было. файл карантина вроде пустой - 1кб. логи прилагаю.

KLAN-8949769339

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2018.10.19-10.43.zip

[regist 617]

"Пофиксите" в HijackThis:

O1 - Hosts file is located at: \hosts

 

что с проблемой?

[vil 0]

Пофиксил. Проблема пока не наблюдается. Антивирус провел успешную проверку компьютера. Подозрительных действий и подвисаний не заметил....пока. Не могу изменить жомашнюю страницу в firefox. после перезагрузки возврашается 12kotov.ru

Изменено 19 октября, 2018 пользователем vil