Возобновляемый UDS:DangerousObject.Multi.Generic

[ДмитрийЯ]

Антивирус обнаруживает и лечит (чаще удаляет) один и тот же файл зараженный вирусом. Файл mschtml.tlb. После лечения многократная перезагрузка, после полной проверки - без замечаний. Как только происходит обращение к интернету (открытие браузера или запуск on-line игры) файл опять появляется.

Антивирус обнаруживает и лечит (чаще удаляет) один и тот же файл зараженный вирусом. Файл mschtml.tlb. После лечения многократная перезагрузка, после полной проверки - без замечаний. Как только происходит обращение к интернету (открытие браузера или запуск on-line игры) файл опять появляется.

CollectionLog-2018.04.13-15.32.zip

Изменено 13 апреля, 2018 пользователем mike 1
Карантин в теме

[regist]

- выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\system32\tasks\{43AEEFDD-A2C7-4DB8-8946-E4D202A00FBE}', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{43AEEFDD-A2C7-4DB8-8946-E4D202A00FBE}" /F', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\system32\tasks\{6B37F7EF-C3D1-48BD-870B-0363E634454A}', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{6B37F7EF-C3D1-48BD-870B-0363E634454A}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Соберите свежий логи этой версией Автологера.

Изменено 13 апреля, 2018 пользователем regist

[ДмитрийЯ]

Выполнено:

 

После выполнения скрипта компьютер перезагрузился.

 

Ответ на отправленный файл quarantine.zip:

KLAN-7915064635

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
{43AEEFDD-A2C7-4DB8-8946-E4D202A00FBE}
{6B37F7EF-C3D1-48BD-870B-0363E634454A}

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

Отчёт о работе ClearLNK прикрепляю

 

Log файл сформированный указанной Вами версией программы AutoLogger прикрепляю

 

 

 

 

ClearLNK-2018.04.13_21.15.42.log

CollectionLog-2018.04.13-21.28.zip

[regist]

1)

Extension eofcbnmajmjmplflapaojjnihcjkigck 0 Avast SafePrice 10.2.0.190
Extension gomekmidlodglbbmalcneegieacbdmki 1 Avast Online Security 10.2.0.190

Рассширения от Аваста из браузера удалите.
 
2) "Пофиксите" в HijackThis:

O4 - HKCU\..\StartupApproved\Run: [World of Tanks] (2017/11/07) = D:\games\WorldofTanks\WargamingGameUpdater.exe  (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Экспорт в Microsoft Excel - C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE (file missing)

 
3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
4) что с проблемой?

[ДмитрийЯ]

1) Не нашел в браузере расширений Avast, снимок прилагаю.

 

2) Пофиксил

 

3) MD5 карантина: 0E41918276F123E3B9CA2AC5D42624C3

     https://virusinfo.info/showthread.php?t=218543

     https://virusinfo.info/virusdetector/report.php?md5=0E41918276F123E3B9CA2AC5D42624C3

 

4) После начала мероприятий (вчерашнего запуска скрипта в AVZ) файл больше не появлялся, пока все тихо

 

[regist]

Программы/расширения от mail.ru как понимаю не используете?

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[ДмитрийЯ]

Не использую

Прикрепляю

AdwCleanerS00.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

 

Не нашел в браузере расширений Avast, снимок прилагаю.

Посмотрите в Google Chrome.

[ДмитрийЯ]

Запустил, отметил, удалил.

 

При первом запуске я тоже нажимал кнопку отчистить (видимо зря?), поэтому прилагаю два отчета.

 

У меня нет Google Chrome, снимок прилагаю.

AdwCleanerC00.txt

AdwCleanerC01.txt

[regist]

 

 

У меня нет Google Chrome, снимок прилагаю.

Как минимум его следы есть . Можете сами посмотреть по пути

C:\Users\ДНС\AppData\Local\Google\Chrome\

И в реестре по пути

HKCU\Software\Google\Chrome

Видно раньше стоял.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[ДмитрийЯ]

Выполнил. "Наиболее часто используемых уязвимостей не обнаружено"

 

Если удалю папку и следы из реестра вручную, ничего страшного не произойдет?

 

Приступаю к выполнению рекомендаций.

[regist]

 

 

Если удалю папку и следы из реестра вручную, ничего страшного не произойдет?

Если до этого Хром был деинсталирован штатно, то думаю спокойно можно удалить вручную.

[ДмитрийЯ]

Хром добил вручную, рекомендации приняты к выполнению.

Проблема с "возрождающимся" файлом больше не появляется.

Разрешите поблагодарить?