Rootkit.Win64.EquationDrug.a

[German228]

Добрый день! 

В течение нескольких месяцев касперский часто находит вирусы, как бы удаляет их, но через некоторое время они снова появляются (Rootkit.Win64.EquationDrug.a ; HEUR:Trojan-Ransom.Win32.Wanna.a (файл mssecsvc.exe), Trojan.Win32.Vehidis.wss; PDM:Exploit.Win32.Generic). Буду благодарен за помощь. 

 

1.txt

[regist]

Порядок оформления запроса о помощи
 

И срочно ставьте обновления безопасности на windows!

Начните с этого обновления http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
 

Изменено 25 июля, 2017 пользователем regist

[German228]

После установки обновлений виндовс не загружается, приходится делать откат. 


Забыл добавить (возможно это будет важно): вирусы появляются только тогда, когда интернет-кабель напрямую подключен к ПК. Если сидеть через wi-fi адаптер, то вирусы никак себя не проявляют. 

CollectionLog-2017.07.25-14.49.zip

Изменено 25 июля, 2017 пользователем German228

[German228]

Вчера вечером откуда-то появился еще один запароленный пользователь на компьютере (guest). Прав адмнистратора, вроде, не имеет. 

[regist]

@German228, без установки обновлений лечиться нет смысла. Этот вирус лезет через очень большую дыру, которые обновление закрывает. Так что устанавить этот фикс надо обязательно.

Если не боитесь телеметрии, то устанавливайте все обновления безопасности через центр обновления. И судя по логам у вас там полно и другой заразы. Пока хоть остальное почистим.

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\Desktop\игры\World of Tanks.lnk', '');
 QuarantineFile('C:\Users\admin\Desktop\игры\Skyrim - Legendary Edition.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 DeleteFile('a.exe&gt', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

Изменено 27 июля, 2017 пользователем regist