Попался такой экземпляр

1 августа, 2017

Ошибки при старте системы, открываются ссылки, в том числе на youtube.Явные вирусники удалил через панель управления и просканировал каспером с очисткой.

Прикладываю логи

CollectionLog-2017.08.01-20.28.zip

1 августа, 2017

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Илья\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\ProgramData\taskmer\taskmer.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\fupdate\fupdate.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\FileSystemDriver\FileSystemDriver.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\75BD~1\AppData\Roaming\aswast\app.py','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JRE Update.bat','');
 DeleteService('4F95F7E2EA7F8CF6');
 DeleteService('4F95E80801C0C0F6');
 DeleteService('4F95D6B2545823F6');
 DeleteService('4F95C45F60A6E5F6');
 DeleteService('4F95C45019F128F6');
 DeleteService('4F95BEE33531AEF6');
 DeleteService('4F959563E1A75376');
 DeleteService('4F95923EA6927F76');
 DeleteService('4F958E605DC81076');
 SetServiceStart('AppFrameHost', 4);
 SetServiceStart('SvcHost Service Host', 4);
 DeleteService('SvcHost Service Host');
 DeleteService('AppFrameHost');
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 QuarantineFile('c:\programdata\framework\windows driver.exe','');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('c:\users\Илья\appdata\local\filesystemdriver\filesystemdriver.exe','');
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe','');
 TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe');
 QuarantineFile('C:\Windows\System32\AppFrameHost.exe','');
 DeleteFile('C:\Windows\System32\AppFrameHost.exe','32');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('c:\programdata\framework\windows driver.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','oolmyvxyxo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JRE Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\efvwesjkbc','command');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JRE Update.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\aswast2','64');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('C:\Users\75BD~1\AppData\Roaming\aswast\app.py','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('C:\Windows\system32\Tasks\FileSystemDriver','64');
 DeleteFile('C:\Users\Илья\AppData\Local\FileSystemDriver\FileSystemDriver.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Realtek','64');
 DeleteFile('C:\ProgramData\taskmer\taskmer.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\Windows\system32\Tasks\System Request Manager','64');
 DeleteFile('C:\Users\Илья\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Local\SearchGo\searchgo.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

1 августа, 2017

Ага

[KLAN-6599347391]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
app.py
AppFrameHost.exe

Riskware which may harm your computer was detected in the following files:
windows driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hxao
svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo

Malicious code has been detected in the following files:
svchost.exe - Trojan.Win32.SelfDel.fzzy
com surrogate.exe - Trojan.VBS.Agent.ajd

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
	
This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2017.08.01-21.00.zip

1 августа, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Попался такой экземпляр

Рекомендуемые сообщения

kremlebot

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

kremlebot

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum