Trojan.Multi.CertStor.a не удаляется

[Tera]

Добрый день!

 

Касперский находит Trojan.Multi.CertStor.a, предлагает лечение с перезагрузкой, но после перезагрузки находит снова. 

Поначалу из видимых проблем была установка рекламного ПО поверх Хрома (нажатие куда угодно в области окна приводило к переходу на рекламные сайты, переустановка не помогла).

 

При очередной перезагрузке Windows 10 решила обновиться, и больше не загружается нормально - переходит в bsod по разным причинам (среди прочего kernel security check failure, driver failure, dxgkrnl.sys system service exception и прочие. Каждый раз новое). Сейчас запущена в безопасном режиме.

 

Два лога - один в безопасном режиме, другой ещё до.

 

Помогите, пожалуйста. Заранее огромное спасибо!

CollectionLog-2018.01.08-13.51.zip

CollectionLog-2018.01.07-20.31.zip

[Sandor]

Здравствуйте!

 

Устаревшую версию KAV 15 удалите через Панель управления - Удаление программ.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\System Native\Main Services\Guard.exe', '');
 QuarantineFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe', '');
 QuarantineFile('C:\Users\ugur\AppData\Roaming\1yrydawdgpk\ptmw4dih0ge.exe', '');
 QuarantineFile('C:\Users\ugur\AppData\Roaming\yzmnxudmzfr\lzl4eal3vsc.exe', '');
 QuarantineFile('C:\Windows\Temp\g2EDD.tmp.exe', '');
 DeleteFile('C:\Program Files (x86)\YeaDesktop\YeaDesktop.exe', '32');
 DeleteFile('C:\Users\ugur\AppData\Roaming\1yrydawdgpk\ptmw4dih0ge.exe', '32');
 DeleteFile('C:\Users\ugur\AppData\Roaming\yzmnxudmzfr\lzl4eal3vsc.exe', '32');
 DeleteFile('C:\Windows\Temp\g2EDD.tmp.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5860573');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '6191604');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YeaDesktop');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'UGUR');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger (пробуйте в обычном режиме).

Прикрепите к следующему сообщению свежий CollectionLog.

[Tera]

Спасибо за быстрый ответ!

 

KLAN-7490544596

 

(с обычным режимом всё ещё проблемы: dxgkrnl.sys system service exception)

CollectionLog-2018.01.08-19.46.zip

[regist]

@Tera, пожалуйста,

 

Нажмите комбинацию клавиш Win + R, введите regedit и нажмите ОК.
Перейдите к ветке: HKEY_USERS\Software\Microsoft\SystemCertificates
Нажмите правой кнопкой мыши по SystemCertificates и выберите "Экспортировать", сохраните на рабочий стол под именем SystemCertificates.reg

Файл SystemCertificates.reg заархивируйте и пришлите в своём сообщении.

 

и файл с которого вы заразились случайно у вас не сохранился?

[Tera]

 

 

HKEY_USERS\Software\Microsoft\SystemCertificates

 

Нашлась только HKEY_USERS\.DEFAULT\Software\Microsoft\SystemCertificates

 

Файла не сохранилось, но торрент ещё остался. На всякий случай, ссылка во втором архиве

Stream URL.rar

SystemCertificates.rar

[regist]

@Tera, добавлю что в своей проблемы вы виноваты сами. И не из-за того, что вирус запустили, а из-за того, что у вас стоит ESET Endpoint Antivirus, одновременно с ним стоит  Kaspersky Lab\Kaspersky Anti-Virus 15.0.2 и ещё включён дефендер.
1) Неудивительно что из-за того винегрета у вас ни один антивирус не работает нормально.
2) KAV 15 устарел и не способен уже полноценно защищать, что собственно вы на себе и проверили.
 
Так что как в фильме горец должен остаться только один. Определитесь какой антивирус вы хотите оставить и скачайте и установите себе актуальную версию. Остальное деинсталируйте.
 
+

C:\Windows\Temp\g2EDD.tmp.exe

этот файл если есть, то удалите у него расширение, заархивируйте в zip архив с паролем virus и пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.
Либо просто выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\Temp\g2EDD.tmp.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'CertStor.zip');
 RebootWindows(false);
end.

- Файл CertStor.zip пришлите на указанную почту.

Изменено 10 января, 2018 пользователем regist
дописал про скрипт AVZ и рассширение файла

[Tera]

Отправила.

 

Эсет это... запаниковала 

Спасибо большое, что сказали - сразу вспомнила, что как раз перед Эсетом должны были остаться контрольные точки и можно восстановиться с них. Большое, огромное спасибо.

 

Сейчас устанавливаю нового Касперского, надеюсь, он найдёт свою лицензию. Как можно догадаться по KAV15, никогда не пробовала переустанавливать.

[Sandor]

ESET Endpoint Antivirus, одновременно с ним стоит  Kaspersky Lab\Kaspersky Anti-Virus 15.0.2 и ещё включён дефендер.

Наводите порядок, пробуйте удалить стандартно через Панель управления - Удаление программ. Если не получится -Чистка системы после некорректного удаления антивируса.

 

После этого пробуйте собрать CollectionLog в обычном режиме.