Перейти к содержанию

троян MEM:Trojan.Win32.Adject.gen


Рекомендуемые сообщения

Касперский обнаружил MEM:Trojan.Win32.Adject.gen в system memory. Пытается лечить с перезагрузкой, но безрезультатно. Так же почему-то сильно стал тормозить интернет на ПК(когда запускаю оперу, если сидеть в хроме то все гуд). На ноуте все нормально.
Логи прикрепил.

CollectionLog-2018.04.30-16.15.zip

Изменено пользователем lovepsone
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Это установщик Гугла https://www.virustotal.com/file/8c92e39d18d57bc66f4bd4f8629036db6a89a311c39b22e20bcc4e610a29f07b/analysis/1525350097/ Странно, только что он в той папке делает.

@lovepsone, Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберит

Касперский обнаружил MEM:Trojan.Win32.Adject.gen в system memory. Пытается лечить с перезагрузкой, но безрезультатно. Так же почему-то сильно стал тормозить интернет на ПК(когда запускаю оперу, если с

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVl2tBHxdg63Yy4dJLNHQrOHHsMYxcG_Bv1yVpzqZt7Y1GnA29hR7QhX4ZIjm0A5MlpnHc7_wzEE1QDSoxFc0KltYACdtzA5jwmtcDp350wJ6-YLXb7E5fvwq0-NO7_8gTKmtBhU2awHHOafcROxcZUMLh


- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на сообщение
Поделиться на другие сайты

 

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

+ @lovepsone, Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

Удалите IOBIT через установку и удаления программ в панели управления (если отсутствует, то проигнорируйте).

 

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref %Sys32%\DRIVERS\10294518.SYS
delref %Sys32%\DRIVERS\61510374.SYS
delref %SystemDrive%\TEMP\_TC\EPSXE\EPSXE.EXE
delref %SystemDrive%\TEMP\_TC\EPSXE\EPSXE160.EXE
delref %SystemDrive%\TEMP\_TC\EPSXE\EPSXE_WRAPPER.EXE
delref %SystemDrive%\TEMP\_TC\EPSXE\NETPLAY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\31.0.1650.59\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.2\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES\NIGHTLY\FIREFOX.EXE
delref %SystemDrive%\PROGRAMDATA\CHYGDFNPXVJESTR\BHRXJYAMSGUOU3.BAT
delref %SystemDrive%\TEMP\GKERNEL.SYS
delref %SystemDrive%\TEMP\GPU-Z.SYS
restart
Ссылка на сообщение
Поделиться на другие сайты

@SQ,@regist, Вы бы ему лучше отвечали на Вирусинфо, чтобы он не скакал по форумам. Хотя... продолжайте здесь. Тему там я закрою

Ссылка на сообщение
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2218867971-2836797324-1720790278-1000\...\Run: [AdobeBridge] => [X]
    FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    File: C:\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe
    File: C:\Program Files (x86)\Windows Kits\8.1\App Certification Kit\fussvc.exe
    File: C:\Windows\SysWOW64\srvany.exe
    File: C:\Windows\system32\themeservice.dll
    File: C:\Windows\System32\drivers\AtihdW76.sys
    File: C:\Windows\System32\drivers\gtkrnl.sys
    File: C:\Windows\System32\drivers\CHDMI64.sys [X]
    File: C:\Program Files (x86)\Garena Plus\Room\safedrv.sys
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    Folder: C:\Program Files (x86)\Arazoynarether
    File: C:\Program Files (x86)\Activator.exe
    Zip: C:\Program Files (x86)\Activator.exe
    Folder: C:\PROGRAMDATA\CHYGDFNPXVJESTR
    2017-04-03 12:05 - 2017-04-03 12:05 - 000000000 _____ () C:\Users\user\AppData\Local\{1B45AD89-8BE0-4F0A-9F14-69548541BD36}
    2017-03-27 17:31 - 2017-03-27 17:31 - 000000000 _____ () C:\Users\user\AppData\Local\{7ACDD1D4-FB50-41F1-9F87-60D217D900A2}
    2017-03-29 18:40 - 2017-03-29 18:40 - 000000000 _____ () C:\Users\user\AppData\Local\{86F9501F-8F78-4F15-B842-5525A3F14475}
    2016-01-30 13:04 - 2016-01-30 13:04 - 000000000 _____ () C:\Users\user\AppData\Local\{9BBC5261-CC7F-4C7A-AB37-76532A9F0A56}
    2016-01-30 13:04 - 2016-01-30 13:04 - 000000000 _____ () C:\Users\user\AppData\Local\{CEB8DE19-018A-4CCD-99B6-4433A737395E}
    CustomCLSID: HKU\S-1-5-21-2218867971-2836797324-1720790278-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> D:\Program Files (x86)\3ds Max 2017\Inventor Server\Bin\TestServer.dll => No File
    CustomCLSID: HKU\S-1-5-21-2218867971-2836797324-1720790278-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> D:\Program Files (x86)\3ds Max 2017\Inventor Server\Bin\TestServer.dll => No File
    Task: {602EBCB7-9975-472B-8FE3-368245C42377} - \Driver Booster SkipUAC (user) -> No File <==== ATTENTION
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    File: C:\Program Files (x86)\Arazoynarether\mivward.exe
    Zip: C:\Program Files (x86)\Arazoynarether\mivward.exe
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Карантин вида 30.04.2018_X.X.X.zip (где X.X.X время выполнения скрипта) на рабочем столе отправьте на newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на сообщение
Поделиться на другие сайты
Запрос на исследование вредоносного файла [KLAN-7998663895]
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mivward.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Fixlog.txt

Изменено пользователем lovepsone
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...