Trojan.Multi.CertStor.a, Trojan.Win32.vehidis.xel

[Dmitriy1]

Здравствуйте! После каждого включения антивирус находит тмп файлы, созданные вирусом, сам вирус после лечения остается. AWD-cleaner не помог Логи сделал по инструкции, прилагаю.

Изменено 30 сентября, 2017 пользователем Dmitriy1

[Mark D. Pearlstone]

 

 

Логи сделал по инструкции, прилагаю.

Не нажали кнопку "Загрузить"

[Dmitriy1]

CollectionLog-2017.09.30-16.30.zip чорд. Загрузил.

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\Temp\g9F0A.tmp.exe');
 TerminateProcessByName('C:\Windows\Temp\g9F0B.tmp.exe');
 QuarantineFile('C:\Windows\Temp\g9F0A.tmp.exe', '');
 QuarantineFile('C:\Windows\Temp\g9F0B.tmp.exe', '');
 QuarantineFile('C:\ProgramData\9097q14j76z3851\9097q14j76z3851.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "9097q14j76z3851" /F', 0, 15000, true);
 DeleteFile('C:\Windows\Temp\g9F0A.tmp.exe', '32');
 DeleteFile('C:\Windows\Temp\g9F0B.tmp.exe', '32');
 DeleteFile('C:\ProgramData\9097q14j76z3851\9097q14j76z3851.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DESKTOP-4S3NLBC');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам.

[Dmitriy1]

Доброго дня! Ответ: KLAN-6901435922, В антивирусных базах информация по присланным вами файлам отсутствует:

9097q14j76z3851.dll

Файлы переданы на исследование. Логи сделл.

CollectionLog-2017.10.01-17.16.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Dmitriy1]

:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделано.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
  HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
  HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
  HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
  HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
  HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
  HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
  HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
  HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
  HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
  HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
  HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
  HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
  HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
  HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
  HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
  HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
  HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
  HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
  HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
  HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
  HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
  HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
  HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=812208
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B18D67D36-C841-4D15-A136-3E0BFA617273%7D&gp=812209
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-01-28] [not signed]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-01-28] [not signed]
  FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-01-28] [not signed]
  FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-01-28] [not signed]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-04]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-04]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-06-04]
  CHR HomePage: Default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040"
  CHR NewTab: Default -> "chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BBAE07F0A-7550-40D4-9D7F-8DAF33CC9693%7D&gp=812209
  CHR DefaultSearchKeyword: Default -> mail.ru
  R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
  2017-10-01 16:29 - 2017-01-24 10:26 - 000000000 ___HD C:\Users\Все пользователи\9097q14j76z3851
  2017-10-01 16:29 - 2017-01-24 10:26 - 000000000 ___HD C:\ProgramData\9097q14j76z3851
  2017-10-01 16:26 - 2017-07-12 22:18 - 000016816 _____ C:\WINDOWS\System32\Tasks\9097q14j76z3851
  2017-09-28 23:29 - 2017-01-24 10:26 - 000000000 ____D C:\Users\Все пользователи\ProductData
  2017-09-28 23:29 - 2017-01-24 10:26 - 000000000 ____D C:\ProgramData\ProductData
  ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
  ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  Task: {6481FD7C-4139-47C6-B98C-AA574C7F3A39} - System32\Tasks\Phoenix Browser Updater => C:\Users\user\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe [2016-12-23] () <==== ATTENTION
  Task: {E2FFC4F4-DBEB-47A5-805B-AEFDB253362B} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
  Task: {FFF93EFA-00AA-4E16-AAF0-30FA15F26B0E} - System32\Tasks\9097q14j76z3851 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\9097q14j76z3851\9097q14j76z3851.dll",qjzgmr <==== ATTENTION
  Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_user.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
  HKU\S-1-5-21-2171252823-4285270020-1466051443-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В Хроме вручную удалите расширения:

Ultimate Discounter

Визуальные Закладки Mail.Ru

Домашняя страница Mail.Ru

[Dmitriy1]

Сделано.

Fixlog.txt

Изменено 4 октября, 2017 пользователем regist
убрал оверквотинг

[Sandor]

Что с проблемой?

[Dmitriy1]

Что с проблемой?

За день наблюдений все чисто, антивирусник молчит. Думаю решена! Большое спасибо, очень выручили!

[Sandor]

В завершение:

1.

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Dmitriy1]

Сделано.

Вот лог.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

VLC media player v.2.2.4 Внимание! Скачать обновления

WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

------------------------------- [ Browser ] -------------------------------

SRWare Iron (64-Bit), версия 56.0.2950.0 v.56.0.2950.0 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Dmitriy1]

:

 

 

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.2.2.4 Внимание! Скачать обновления
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
------------------------------- [ Browser ] -------------------------------
SRWare Iron (64-Bit), версия 56.0.2950.0 v.56.0.2950.0 Внимание! Скачать обновления


Прочтите и выполните Рекомендации после удаления вредоносного ПО

 

 

 Сделано.