Trojan. Moneyinst (windows 10)

[Sphexx]

Здравствуйте. Подскажите что это за вирусню я подцепил.

Дело в том, что каждый раз когда ОСь загружается, то спустя 5 минут в командной строке появляются странные надписи, как будто с моего компьютера отправляются какие то файлы. Проверял kis, dr.web cureit, adwcleaner, последняя программа удаляла вирус но потом после перезагрузки всё равно он появлялся. Ниже прикрепил скриншоты с командной строкой и результатом сканирования dr.web cureit

 

 

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Sphexx]

лог AVZ

CollectionLog-2017.12.27-21.40.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\yyiL.bat', '');
 QuarantineFile('C:\Program Files (x86)\EReUtfNCj.bat', '');
 QuarantineFile('C:\Windows\SysWOW64\YTziO.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "NUuYfZIl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sbayoUUtWx" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uyMOyZx" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Common Files\yyiL.bat', '32');
 DeleteFile('C:\Program Files (x86)\EReUtfNCj.bat', '32');
 DeleteFile('C:\Windows\SysWOW64\YTziO.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Sphexx]

свежий лог

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\yyiL.bat', '');
 QuarantineFile('C:\Program Files (x86)\EReUtfNCj.bat', '');
 QuarantineFile('C:\Windows\SysWOW64\YTziO.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "NUuYfZIl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sbayoUUtWx" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uyMOyZx" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Common Files\yyiL.bat', '32');
 DeleteFile('C:\Program Files (x86)\EReUtfNCj.bat', '32');
 DeleteFile('C:\Windows\SysWOW64\YTziO.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

Ответ: KLAN-7422801971

 

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
yyiL.bat
EReUtfNCj.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
Sent: 12/27/2017 6:12:00 PM
To: newvirus@kaspersky.com
Subject:

CollectionLog-2017.12.27-22.02.zip

[Sandor]

Файл quarantine.zip пришлите также мне в личные сообщения, пожалуйста.

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sphexx]

После сканирования AVZ всё прошло.

лог adw ниже

 

а quarantine.zip уже удалил)

AdwCleanerS4.txt

[Sandor]

а quarantine.zip уже удалил

Может в почте в Отправленных сохранился?

 

всё прошло

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sphexx]

Архив удалил с отправленных)

SecurityCheck.txt

[regist]

Выполните рекомендации после лечения.