Вирус Trojan.Win32.Stantinko.gen

[Persephone_666]

Kaspersky Virus Removal Tool нашел MEM:Trojan.Win32.Stantinko.gen, вылечить не получилось, были еще найдены и удалены файлы WebToolbar.Win32.Safesurfing.b. Периодически открываются непонятные сайты сами по себе в браузерах. Проблема вероятно появилась после скачивания программы из ненадежного источника.

CollectionLog-2018.05.22-13.33.zip

Изменено 22 мая, 2018 пользователем Persephone_666

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Tucha\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Windows\System32\bstreamsvc.dll', '');
 QuarantineFile('C:\Windows\system32\optsatadc.dll', '');
 DeleteFile('C:\Users\Tucha\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Windows\System32\bstreamsvc.dll', '64');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BitStreamSvc\Parameters', 'ServiceDll');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

[Persephone_666]

Здравствуйте!

 

1) Ссылка: http://virusinfo.info/virusdetector/report.php?md5=90338ED47FA64B6E992253EF2B4AA33F

 

2) Ответное письмо: Quarantine [KLAN-8117770090]

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
Вoйти в Интeрнeт.lnk
bstreamsvc.dll

В следующих файлах обнаружен вредоносный код:
optsatadc.dll - HEUR:Trojan.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

3) Отчет о работе ClearLNK прикреплен.

4) Логи Autologger прикреплены.

5) Архив с логами Autoruns прикреплен.

ClearLNK-2018.05.24_09.28.28.log

CollectionLog-2018.05.24-09.34.zip

WIN-SSAVJFPD386.rar

[regist]

@Al@ksey, Порядок оформления запроса о помощи
Особенно внимательно пункт №3 прочитайте.

 

+ все скрипты лечения пишутся индивидуально. Выполнять скрипты написанных для других нельзя, можете повредить свою систему.

@Persephone_666,

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\bstreamsvc.dll', '');
 QuarantineFile('C:\Windows\System32\optsatadc.dll', '');
 DeleteFile('C:\Windows\system32\bstreamsvc.dll', '32');
 DeleteFile('C:\Windows\system32\optsatadc.dll', '32');
 DeleteFile('C:\Windows\System32\optsatadc.dll', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\optsatadc\Parameters', 'ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Al@ksey]

 

@Al@ksey, Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.

 

+ все скрипты лечения пишутся индивидуально. Выполнять скрипты написанных для других нельзя, можете повредить свою систему.

@Persephone_666,

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\bstreamsvc.dll', '');
 QuarantineFile('C:\Windows\System32\optsatadc.dll', '');
 DeleteFile('C:\Windows\system32\bstreamsvc.dll', '32');
 DeleteFile('C:\Windows\system32\optsatadc.dll', '32');
 DeleteFile('C:\Windows\System32\optsatadc.dll', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\optsatadc\Parameters', 'ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

[KLAN-8119641313]

[Soft]

Al@ksey,Все скрипты лечения пишутся индивидуально. Выполнять скрипты написанных для других нельзя, можете повредить свою систему.

Сообщение от модератора Soft

Порядок оформления запроса о помощи Особенно внимательно пункт №3 прочитайте. 

[Persephone_666]

Выполнено, логи прикреплены.

CollectionLog-2018.05.25-06.32.zip

[regist]

@Persephone_666, что с проблемой?

Google Toolbar for Internet Explorer [2018/02/06 19:58:33]-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_8B0481A9A34D47CD.exe" /uninstall
Google Update Helper [20151203]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Unity Web Player [2017/02/12 12:11:13]-->C:\Users\Tucha\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Update Manager [20161005]-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}

если не используете, то деинсталируйте.

[Persephone_666]

Проблем сейчас не наблюдается

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Persephone_666]

Спасибо!