Что-то подцепил

[Дима Матюшевский 0]

Доброй ночи уважаемые каспера... В общем общем подцепил троян, на который касперский постоянно ругается . Причем даже если каспер чтото удаляет оно через время появляется снова. Полную проверку выполнял 2 раза, но он ничего не находит. При этом каждые пол часа (примерно) вылазит окно "Систем32"  . Вот логи CollectionLog-2018.01.22-01.48.zip. Заранее спасибо!

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\emkYH.bat', '');
 QuarantineFile('C:\Program Files (x86)\Multitimer\Multitimer.exe', ''); QuarantineFile('C:\WINDOWS\system32\tasks\yuipVtJUAEqI', '');
 QuarantineFile('c:\users\дима\appdata\local\dolsaw.dll', '');
 QuarantineFile('C:\Users\Дима\AppData\Local\MediaGet2\mediaget.exe', '');
 QuarantineFile('C:\Users\Дима\AppData\Local\yjEmuSugPyxQ.bat', '');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk', '');
 QuarantineFile('C:\Users\Дима\YUYaZ.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Multitimer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\Common Files\emkYH.bat', '32');
 DeleteFile('c:\users\дима\appdata\local\dolsaw.dll');
 DeleteFile('C:\Users\Дима\AppData\Local\yjEmuSugPyxQ.bat', '32');
 DeleteFile('C:\Users\Дима\YUYaZ.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "EAEEQAxEFyiOI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "kpiYJb" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

MediaGet [20170516]-->C:\Users\Дима\AppData\Local\MediaGet2\mediaget-uninstaller.exe

ScreenUp [2015/11/30 09:45:14]-->C:\Program Files (x86)\ScreenUp\uninst.exe
Служба автоматического обновления программ [2018/01/15 12:05:43]-->C:\Users\Дима\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

деинсталируйте.

Multitimer version 1.0 [20180115]-->"C:\Program Files (x86)\Multitimer\unins000.exe"
Служба автоматического обновления программ [2018/01/15 12:05:43]-->C:\Users\Дима\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Если не знакомо/не используете, то тоже деинсталируйте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

[Дима Матюшевский 0]

https://virusinfo.info/virusdetector/report.php?md5=89A82B9380E7BE71F57D1E508418425D

ClearLNK-24.01.2018_02-00.log

CollectionLog-2018.01.24-02.19.zip

 

[regist 617]

1) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Дима\AppData\Local\dolsaw.dll', '');
 QuarantineFile('C:\Users\Дима\YUYaZ.exe', '');
 DeleteFile('C:\Users\Дима\AppData\Local\dolsaw.dll', '32');
 DeleteFile('C:\Users\Дима\YUYaZ.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "yuipVtJUAEqI" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dolsaw');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


2)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

4)

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Дима Матюшевский 0]

Первый и второй пункт не получилось выполнить никак. Пытался делать раз пять. Но после выполнения скрипта просто напросто в папке не появлялся файл quarantine.zip. Единственное что. Появлялась папка с название quarantine внутри которой появлялась еще 1 папка с датой и временем выполнения сборки логов, но внутри папки пусто...

Что касается последних двух пунктов, все проделал  DIMA_2018-01-27_02-38-43.7z

Вот свежие логи если что. CollectionLog-2018.01.27-02.15.zip

 

[regist 617]

 

 

Пытался делать раз пять. Но после выполнения скрипта просто напросто в папке не появлялся файл quarantine.zip. Единственное что. Появлялась папка с название quarantine внутри которой появлялась еще 1 папка с датой и временем выполнения сборки логов, но внутри папки пусто...

если пять раз выполняли, то уже конечно будет пусто... если бы один раз выполнили, то просто бы вручную заархивировали.

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Дима Матюшевский 0]

AdwCleanerS0.txt

[regist 617]

1) Временнно деинсталируйте

Warface [2018/01/23 01:20:59]-->"C:\Users\Дима\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -cp mailrugames://uninstall/0.1177
Игровой центр [2017/05/17 09:08:38]-->"C:\Users\Дима\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

по окончанию лечения если они нужны поставьте заново.

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Дима Матюшевский 0]

AdwCleanerC0.txt

[regist 617]

Что с проблемой?
 

[Дима Матюшевский 0]

все хорошо уже. удалил когда "авто обновление майл" ничего не появляется, каспер не ругается. Спасибо большое за помощь. Вирус был похож типо как майнер или чтото такое! 

потому что систем 32 появлялся и капали байты сиды пиры и тд 

[regist 617]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.