Удаленные трояны (Win32/Stantinko) появляются после перезагрузки

[Dart-archangel]

Доброго времени суток.

Почти сразу при запуске (или во время проверки) KIS находит троянский файл (один или два, пример названия - bstreamsvc.dll, vp9core.dll) в папке C:\Windows\SysWOW64. Лечит их, но после перезагрузки он снова их находит. В описании в карантине - Trojan-Downloader.Win32.Stantinko.cen. Та же ситуация с Dr.Web CureIt! и Kaspersky Virus Removal Tool 2015.

Помогите полностью вычистить систему.

CollectionLog-2017.08.16-11.29.zip

Изменено 16 августа, 2017 пользователем Dart-archangel

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Программы/расширения от Mail.ru используете?
 

3) ProxyServer = http=127.0.0.1:8888 - сами прописывали?

[Dart-archangel]

1) Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина

2) Нет. Но иногда пропускал галочку в установщике и они ставились. старался убирать.

3) Нет, ProxyServer = "..." не прописывал

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Dart-archangel]

Вот отчет.

AdwCleanerS0.txt

[regist]

1) Если используете синхронизацию Хрома, то отключите https://support.google.com/chrome/answer/3097271

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 

 

3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\optsatadc.dll', '');
 DeleteFile('C:\Windows\System32\optsatadc.dll', '32');
 RegKeyDel('hklm', 'SYSTEM\CurrentControlSet\Services\optsatadc\');
 ExecuteRepair(22);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

6)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 16 августа, 2017 пользователем regist

[Dart-archangel]

1. Снес Хром, я им почти не пользовался.

2. Запустил. Отчет прикладываю.

3.Скрипт выполнил.

4. Карантин отправил. Отправка файла карантина [KLAN-6664604894].

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами файлы и ссылки были проверены в автоматическом режиме
В антивирусных базах информация по присланным вами файлам отсутствует:
optsatadc.dll
В антивирусных базах информация по присланным вами ссылкам отсутствует:
forum.kasperskyclub.ru
Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

5.Перетащил Check_Browsers_LNK.log. Последний отчет прилагаю.

6.Лог Autologger прилагаю.

AdwCleanerS1.txt

ClearLNK-16.08.2017_14-02.log

CollectionLog-2017.08.16-14.12.zip

[regist]

1) "Пофиксите" в HijackThis:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD7B2D03D-28D5-4A4A-9562-4C995D78BD5E%7D&gp=811041
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD7B2D03D-28D5-4A4A-9562-4C995D78BD5E%7D&gp=811041
O8 - Extra context menu item: &Экспорт в Microsoft Excel - C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE (file missing)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O22 - Task (Ready): WindowsCleaner - wincleaner s (file missing)

 

2) Что с проблемой?

 

3) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Dart-archangel]

1. Сделал

 

2. Дважды перезагружал - полная проверка KIS и Dr.Web CureIt! ничего не показывает.

 

3. Запустил Malwarebytes' Anti-Malware. Она еще ключ реестра находит. Отчет прикрепил.

Scan.txt

[regist]

Повторите сканирование MBAM и удалите всё найденное.

 

Потом для контроля ещё раз просканируйте.

[Dart-archangel]

При повторном сканировании 0 угроз. Обычные проверки тоже ничего не показали.

Еще буду ближайшее время почаще проверять но на текущий момент проблемы нет.

Большое спасибо за помощь.

[regist]

MBAM деинсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Dart-archangel]

Сделал. Спасибо.