MEM:Trojan.Win32.Generic

[RoninzAndy]

Здравствуйте. Лечение/удаление не помогает. Аналогичная ситуация с HEUR:HackTool.Win64.Phider.gen и с HEUR:Trojan.OLE2.Agent.gen.

Изменено 22 февраля, 2018 пользователем RoninzAndy

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[RoninzAndy]

CollectionLog-2018.02.22-19.19.zipЛоги.

Изменено 22 февраля, 2018 пользователем RoninzAndy

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Бистчарджерх\HyPetEeBIbEPy.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\IuaiYYEUawu.exe', '');
 DeleteFile('C:\Users\Бистчарджерх\HyPetEeBIbEPy.exe');
 DeleteFile('C:\Windows\SysWOW64\IuaiYYEUawu.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{66D6E075-F7D6-4D46-8148-1760C2C1C4FD}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{EC7538DD-512E-4933-A269-CC7BC366EE25}" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.

После выполнения скрипта компьютер перезагрузится.
 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O7 - Policy: [Untrusted Certificate] Fix all items from the log

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Удалите остатки Аваст https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Трассировки маршрутов сами прописывали?
 

Программы/расширения от Mail.ru используете?
 

Изменено 22 февраля, 2018 пользователем regist

[RoninzAndy]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[KLAN-7675814818]


Трассировки маршрутов не прописывал (не знаю, что это).
Программы/расширения также не использую.

CollectionLog-2018.02.22-20.25.zip

ClearLNK-22.02.2018_20-05.log

Изменено 22 февраля, 2018 пользователем RoninzAndy

[regist]

combofix - зачем запускали? Могли систему себе убить, уже были такие случаи. Без прямого указания хелпера его запускать нельзя. Покажите его лог.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[RoninzAndy]

Повезло, видимо, спасибо за информацию.
Прикрепил.

AdwCleanerS4.txt

[regist]

В AdwCleaner вижу уже сами всё удалили, так что лог уже чистый.

 

 

Покажите его лог.

жду. Если не знаете, где его найти, то он должен лежать в C:\ComboFix.txt

 

+ выполните скрипт в AVZ

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

затем свежие логи Автологером.

[RoninzAndy]

Готово.

ComboFix.txt

CollectionLog-2018.02.22-21.14.zip

[regist]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up.
 

 

что с проблемой?

 

Смените все пароли.

[RoninzAndy]

Просаживания памяти пока не наблюдается. Поставлю на ночь полную проверку и завтра напишу результаты.

[RoninzAndy]

 

 

что с проблемой?

 

 

Антивирус нашел только HEUR:Trojan.OLE2.Agent.gen, который удалил. Значит ли это, что после вчерашних процедур данный троян (HEUR:Trojan.OLE2.Agent.gen), не будет больше устанавливаться на компьютере снова?

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[RoninzAndy]

Спасибо за помощь!