mem;trojan.win64equation в сустем мемори обнаружен

[Вадим я]

Добрый день. по форуму почитал у многих есть эта проблема. доктором веб проверку сделал, он нашел и удалил 3 трояна, хотя касперский находит один всего. обновление для виндоуз не встает у меня, устанавливаю, комп выключается, происходит установка, а заново не включается, приходится восстанавливать. день вроде поработал а потом все равно троян в системе появился.

и еще вот это - 25.02.2018 09.40.26;Заблокирован опасный веб-адрес;http://kazy-bazy.000webhostapp.com/local.rar;http://kazy-bazy.000webhostapp.com/local.rar;Веб-адрес;KSN;LocalSecurity Authority Process;02/25/2018 09:40:26  это тоже что такое ? по адресу вроде как базы для касперского, и он сам вроде как запрещает доступ, но сам обновляется. стоит касперский Free.
 

CollectionLog-2018.02.25-09.30.zip

[SQ]

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\windows\hhsm\client.exe');
 QuarantineFileF('c:\windows\hhsm', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\Users\7C77~1\AppData\Local\Temp\7ZipSfx.000\bin\tools\openhardwaremonitor\OpenHardwareMonitor.sys','');
 QuarantineFile('c:\windows\hhsm\client.exe','');
 DeleteFile('c:\windows\hhsm\client.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Вадим я]

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

2 лога прикрепляю, один сразу после перезагрузки AVZ . второй после перезагрузки AdwCleaner  .

AdwCleanerS12.txt

AdwCleanerS13.txt

[SQ]

Сообщите, отправляли ли quarantine.zip из папки AVZ по адресу newvirus@kaspersky.com ?

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Вадим я]

Да отправил , пришло письмо что- Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.comhttps://www.securelist.com"

Насчет программы скачаю через 2 часа только, сейчас на работе.

Вверху письма было вот это -

 

Re: Запрос на исследование вредоносного файла [KLAN-7686424491] это этот номер вам нужен?

Изменено 25 февраля, 2018 пользователем Вадим я

[SQ]

да, и ответ касаемо файлов. Также приложите логи уилиты FRST.

[Вадим я]

Все? Кстати, ночью каспер проверял комп и нет вроде трояна. И как удалить то что вылазит в адврее -майл вроде?

FRST.txt

Addition.txt

[Вадим я]

Все? Кстати, ночью каспер проверял комп и нет вроде трояна. И как удалить то что вылазит в адврее -майл вроде?

 

 

 опять вирус поймал каспер.

Изменено 26 февраля, 2018 пользователем Вадим я

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.6.0.32\IPS\IPSBHO.DLL => No File
  FF Plugin HKU\S-1-5-21-412124022-1669586762-3581340450-1000: @mail.ru/GameCenter -> C:\Users\Вадим\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
  CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
  Folder: C:\Program Files (x86)\Ghostery Storage Server
  File: C:\ProgramData\temp1.exe
  2018-02-16 00:52 - 2018-02-25 15:39 - 000003090 _____ () C:\ProgramData\temp1.exe
  2018-02-16 00:52 - 2018-02-25 15:39 - 000003090 _____ () C:\Users\Все пользователи\temp1.exe
  2017-01-31 13:19 - 2017-02-26 21:41 - 000000462 _____ () C:\Users\Вадим\AppData\Roaming\del.bat
  ContextMenuHandlers1: [Symantec.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => C:\Program Files (x86)\Norton Internet Security\Engine64\21.6.0.32\NavShExt.dll -> No File
  ContextMenuHandlers6: [Symantec.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => C:\Program Files (x86)\Norton Internet Security\Engine64\21.6.0.32\NavShExt.dll -> No File
  Task: {7865A0B6-1BA2-4DB9-939A-5777818EB1A7} - \cvc -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[regist]

 

 

опять вирус поймал каспер.

и будет ловить пока вы дыру не закроете через которую он лезет.

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 + остальные обновления безопасности.
И в будущем не забывайте своевременно обновляться.

[Вадим я]

 

опять вирус поймал каспер.

и будет ловить пока вы дыру не закроете через которую он лезет.

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 + остальные обновления безопасности.

И в будущем не забывайте своевременно обновляться.

 

Добрый день! в первом сообщении я написал что при установке ЭТОГО обновления для виндоуз у меня комп не загружается. приходится делать восстановление.

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

 

 

лог прилаживаю. Скажите есть шанс вылечить ? или сносить винду и на чистую ставить заплатку ?

Fixlog.txt

[regist]

 

 

в первом сообщении я написал что при установке ЭТОГО обновления для виндоуз

вы не написали какого именного. В любом случае надо разобраться, что у вас не так и установить его (что в принципе выходит за рамки раздела лечения). Виндоус сборка? Пока не поставите это обновление дальнейшее лечение бесполезно.

[Вадим я]

 

в первом сообщении я написал что при установке ЭТОГО обновления для виндоуз

вы не написали какого именного. В любом случае надо разобраться, что у вас не так и установить его (что в принципе выходит за рамки раздела лечения). Виндоус сборка? Пока не поставите это обновление дальнейшее лечение бесполезно.

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

вот это обновление не встает. я думаю вирус модифицировал систему и теперь надо как то сделать так что бы она нормально загрузилась после установки

 виндоуз 7-  64 битная сервис пак 1 качаю 2 строку сверху. при установки обновления комп начинает выключаться написано не выключайте пк, идет обновление, затем перезагружается. но загрузка системы не происходит, кулер в системнике даже останавливается.

Изменено 27 февраля, 2018 пользователем Вадим я

[Вадим я]

Не подскажете что делать то ? заплатка эта не встает. винду сносить ? или отключить инет удалить червя и поставвить заплатку ? или нифига это не даст ? и что еще хотел узнать мне что потом пароли менять на всех сайтах ?? он собирает пароли с браузера ?? у меня автосохранение стоит ((

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

P.S. После лечения большая вероятность заражения, без уставовки заплатки.