Wow64Transition RuKometa

[mikozlar]

Добрый день. Не минула чаша сия и меня.

 Комп. стал притормаживать. открывались сmd окна. активно. Защитник виндовс активировался только через регистр и то ненадолго. После зачистки всем подручным имею подвисание интернет соединений и посте клика табличку 404. после повторного клика- идет по адресу....

Все логи, что смог собрать- прикладываю.

SecurityCheck.txt

Addition_19-02-2018 20.43.44.txt

FRST_19-02-2018 20.43.44.txt

report1.log

report2.log

AdwCleanerS10.txt

AdwCleanerS9.txt

[regist]

@mikozlar, прикрепили всё кроме того что нужно. Жду файла CollectionLog-2018.02.19-22.30.zip

Он у вас лежит в папке C:\Users\video\Desktop\вирусы\AutoLogger\AutoLogger\

[mikozlar]

есть такой

CollectionLog-2018.02.19-22.30.zip

[regist]

1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

2) Попробуйте собрать логи этой версией.

[mikozlar]

как то быстро все прошло.

 

https://drive.google.com/file/d/1HoUcO6KpXcIOwybrwrbYGPyYbYhAaieF/view?usp=sharing

 

сделал

 

CollectionLog-2018.02.20-14.37.zip

[regist]

Здравствуйте!
 
1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
2) AdwCleaner  у вас установлен фейковый, деинсталируйте. И на всякий случай повторю ещё и для тех, кто будет находить эту тему через поиск
adwcleaner.ru это фишинговый сайт!
 
3)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\video\AppData\Local\9B6CCB~1\{BA4CD~1.', '');
 QuarantineFile('C:\Users\video\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\video\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\WINDOWS\SYSTEM32\explorer.exe', '');
 QuarantineFileF('C:\PROGRA~3\c16e3892\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\video\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\video\AppData\Local\9B6CCB~1\{BA4CD~1.', '32');
 DeleteFile('C:\Users\video\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\video\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "{08050F47-7E09-7A0F-0C11-0805050B117A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{3945B3F0-4997-F50D-A065-A8ECA1FD073D}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DB6CF3A0-2171-878A-A035-4A0F0EEC8CC2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 DeleteFileMask('C:\PROGRA~3\c16e3892\', '*', true);
 DeleteFileMask('c:\users\video\appdata\roaming\curl', '*', true);
 DeleteDirectory('C:\PROGRA~3\c16e3892\');
 DeleteDirectory('c:\users\video\appdata\roaming\curl');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 21 февраля, 2018 пользователем regist

[mikozlar]

спасибо, что со мной возитесь

скрипт не запускается. пишет ошибка в 5:16

 

log https://drive.google.com/open?id=1jRA7DVjuC08QQajQD0kxsurb8LlKEWAn

Изменено 20 февраля, 2018 пользователем mikozlar

[regist]

 

 

log https://drive.google...0kxsurb8LlKEWAn

перечитайте внимательно куда надо было загрузить.

 

 

скрипт не запускается. пишет ошибка в 5:16

поправил, попробуйте снова.

[mikozlar]

продублировал сюда просто

 

 а это нормально, что файл quarantine.zip 1 кв занимает?

я наверно что то не так сделал...

KLAN-7667276628

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

CollectionLog-2018.02.20-20.58.zip

Изменено 20 февраля, 2018 пользователем mikozlar

[regist]

продублировал сюда просто

сюда надо ссылку на отчёт об анализе или хотя бы MD5. Где это?

 

 

а это нормально, что файл quarantine.zip 1 кв занимает?

значит пустой (не попало в карантин).

"Пофиксите" в HijackThis:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{824a164f-11e1-4aa5-bc0f-e52b27390925}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{824a164f-11e1-4aa5-bc0f-e52b27390925}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{a78f5759-de89-43ec-b8dc-f99ff856eccc}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{a78f5759-de89-43ec-b8dc-f99ff856eccc}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{dbffa831-f623-454f-9274-cccee62efdbe}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{dbffa831-f623-454f-9274-cccee62efdbe}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{f7416173-fd3b-4a91-b600-841daf562ff2}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{f7416173-fd3b-4a91-b600-841daf562ff2}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: curls - C:\Users\video\AppData\Roaming\curl\curl.exe (file missing)

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
   
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
   
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

   
   

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[mikozlar]

сюда надо ссылку на отчёт об анализе или хотя бы MD5. Где это?

 

где это сохранено?

DESKTOP-8NC39EG_2018-02-21_10-47-56.7z

HiJackThis.log

Изменено 21 февраля, 2018 пользователем mikozlar

[regist]

 

 

где это сохранено?

после окончания загрузки вам написано и MD5 и дало ссылку на отчёт. Если вы указали адрес почты, то по окончанию анализа ссылка также должна была придти на почту.

Насчёт сохранения, если вы себе это не записали и адрес почты не указавали, то нигде не сохранено. Но вы можете повторно отправить через ту форму этот файл и должно заново выдать ссылку. Точней написать, что-то типа этот файл ранее уже проверялся, ссылка не его результаты анализа такая-то.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   bl 1367F6C7A9BD9D16A2F3D442043A4BA1 3631463
   zoo %SystemDrive%\USERS\VIDEO\ONEDRIVE\DOCUMENTS\ADWCLEANER_7.0.8.1\ADWCLEANER_7.0.8.1.EXE
   delall %SystemDrive%\USERS\VIDEO\ONEDRIVE\DOCUMENTS\ADWCLEANER_7.0.8.1\ADWCLEANER_7.0.8.1.EXE
   delref HTTP://SKUPKAV.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=EFB7FB3B94D27B8F17DCB4FAD04AC3EA&UTM_TERM=0BEA44FA406BC0F3E0BB28AF5D065848&UTM_D=20180101
   delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

+

 

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

[mikozlar]

MD5 карантина: 8726B69663B73F3E14774021A038CAD4

[regist]

Теперь остальное выполните из предыдущего поста.

[mikozlar]

не получается. при сканировании Gmer происходит сбой с синим экраном. причина сбоя afadypod.sys  и перегрузка...

и свежий лог на вирусдетектор не грузится. вылетает все...https://drive.google.com/open?id=1AVWlVH44HbEd_wusqUyVHpUQYri_N1L9сохранил его на диск

Изменено 21 февраля, 2018 пользователем mikozlar