Sazabi Опубликовано 6 июня, 2018 Поделиться Опубликовано 6 июня, 2018 (изменено) Добрый день, Не могу избавиться от Trojan.Multi.Miner.gen. Появляется в памяти на сл день после удаления. KIS удаляет, но без толку. Вот сегодня опять... Параллелньо с ним появляются и др. бякушки. CollectionLog-2018.06.06-14.07.zip Изменено 6 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 июня, 2018 Поделиться Опубликовано 6 июня, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\Enumerator\enumerator.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Enumerator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ExtendedConsole" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Common Files\Enumerator\enumerator.exe', '64'); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на комментарий Поделиться на другие сайты Поделиться
regist Опубликовано 6 июня, 2018 Поделиться Опубликовано 6 июня, 2018 Malwarebytes Anti-Malware - раз уже поставили, то покажите его лог. + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. + - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 6 июня, 2018 Автор Поделиться Опубликовано 6 июня, 2018 (изменено) Собрался выполнять рекомендации, Каспер ругнулся на еще один троян. KLAN-8184479888 Лог Malwarebytes Anti-Malware прикрепил. Лог ClearLNK прикрепил. virus_info весит дофига и все еще подгружается. virus_info два раза сайт вывалился, никак не получается подгрузить, 80МБ. О, пришло сообщение от virusinfo: https://virusinfo.info/showthread.php?t=219203 https://virusinfo.info/virusdetector/report.php?md5=F717FF775A5FDCBD76E69DF62B32E56A MAM.txt ClearLNK-2018.06.06_15.44.42.log Изменено 6 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты Поделиться
regist Опубликовано 6 июня, 2018 Поделиться Опубликовано 6 июня, 2018 @Sazabi, добавьте файлы в карантин AVZ по списку C:\Program Files (x86)\InstallShield Installation Information\{FA285575-B543-4E6E-A573-A5F534AC9955}\msdtc.exe C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe C:\Program Files (x86)\InstallShield Installation Information\{FB231245-B521-BEF3-C321-D5D534AB1121}\orch_disabler.exe C:\Program Files (x86)\InstallShield Installation Information\{BB281145-A521-2EF3-B593-C5D534DC9911}\orchestrator.exe архив с карантином закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 6 июня, 2018 Автор Поделиться Опубликовано 6 июня, 2018 Повторный лог CollectionLog-2018.06.06-16.19.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
regist Опубликовано 6 июня, 2018 Поделиться Опубликовано 6 июня, 2018 C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat этот файл вам знаком? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{BB281145-A521-2EF3-B593-C5D534DC9911}\orchestrator.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{FB231245-B521-BEF3-C321-D5D534AB1121}\orch_disabler.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe', ''); QuarantineFile('C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe', ''); QuarantineFile('C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat', ''); QuarantineFileF('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Program Files (x86)\InstallShield Installation Information\Tasks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Program Files (x86)\Windows NT\Hostprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe', '64'); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', '64'); DeleteFile('C:\Program Files (x86)\InstallShield Installation Information\{FA285575-B543-4E6E-A573-A5F534AC9955}\msdtc.exe', '64'); DeleteFile('C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe', '64'); DeleteFile('C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe', '64'); ExecuteFile('schtasks.exe', '/delete /TN "Enumerator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ExtendedConsole" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Hostfixer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MDTCS" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ServiceCoordinator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Taskcleaner" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Taskorganizer" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KNPPlugin'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 7 июня, 2018 Автор Поделиться Опубликовано 7 июня, 2018 (изменено) Добрый день, По knpPluginLogonTask.bat - нет, не знаю такого. Не помню, по крайней мере. Карантин отправил - KLAN-8189822359. Свежий лог в приложении. Virusinfo прислали дополнение только что: https://virusinfo.info/virusdetector/report.php?md5=F717FF775A5FDCBD76E69DF62B32E56A https://virusinfo.info/showthread.php?t=219203 CollectionLog-2018.06.07-11.22.zip Изменено 7 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 7 июня, 2018 Поделиться Опубликовано 7 июня, 2018 Полученный ответ сообщите здесьПо этому карантину и по предыдущему, пожалуйста. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 7 июня, 2018 Автор Поделиться Опубликовано 7 июня, 2018 Полученный ответ сообщите здесьПо этому карантину и по предыдущему, пожалуйста. Предыдущий - KLAN-8184479888 Новый - KLAN-8189822359 Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 7 июня, 2018 Поделиться Опубликовано 7 июня, 2018 Номер Вы сообщили, а ответ по файлам не процитировали. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 7 июня, 2018 Автор Поделиться Опубликовано 7 июня, 2018 Номер Вы сообщили, а ответ по файлам не процитировали. Простите, исправляюсь: KLAN-8184479888 В антивирусных базах информация по присланным вами файлам отсутствует: windefend.exe KLAN-8189822359 В следующих файлах обнаружен вредоносный код: service.exe - Trojan.Win64.Agent.kzg taskscleaner.exe - Trojan-Downloader.Win32.Miner.eh hostprotector.exe - Trojan-Downloader.Win32.Miner.ei В антивирусных базах информация по присланным вами файлам отсутствует: orchestrator.exe orch_disabler.exe knpPluginLogonTask.bat В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству: config.json - not-a-virus:RiskTool.HTML.Miner.b Ссылка на комментарий Поделиться на другие сайты Поделиться
regist Опубликовано 7 июня, 2018 Поделиться Опубликовано 7 июня, 2018 По knpPluginLogonTask.bat - нет, не знаю такого. Не помню, по крайней мере. откройте его блокнотом и напишите тут содержимое. Ссылка на комментарий Поделиться на другие сайты Поделиться
Sazabi Опубликовано 7 июня, 2018 Автор Поделиться Опубликовано 7 июня, 2018 @echo off rem =========================================================================== rem === === rem === This scripts perform knp plugin logon task: === rem === 1. Install ssl certs into mozzilla's profiles === rem === 2. Start knpPlugin tray app === rem === === rem === Usage: === rem === knpPluginLogonTask.bat === rem === === rem =========================================================================== setlocal EnableDelayedExpansion :INSTALL_SSL_CERTS_INTO_MOZILLA set certutilPath=%~dp0certs\mozilla\certutil.exe FOR /f "tokens=1,2 delims==" %%b in ('find "Path" "%APPDATA%\Mozilla\Firefox\profiles.ini"') DO ( SET currkey=%%b SET currval=%%c IF [!currval!]==[] ( REM ) ELSE ( IF EXIST "%APPDATA%\Mozilla\Firefox\!currval:Profiles/=Profiles\!\cert8.db" ( for /r "%~dp0..\certs\" %%i in (*.crt) do ( for %%j in ("%%i") do ( set filename=%%~nj ) !certutilPath! -A -n "smauth_!filename!" -t "TCu,Cuw,Tuw" -i "%%i" -d "%APPDATA%\Mozilla\Firefox\!currval:Profiles/=Profiles\!" ) ) ELSE ( for /r "%~dp0..\certs\" %%i in (*.crt) do ( for %%j in ("%%i") do ( set filename=%%~nj ) !certutilPath! -A -n "smauth_!filename!" -t "TCu,Cuw,Tuw" -i "%%i" -d "!currval!" ) ) ) ) setlocal DisableDelayedExpansion :START_TRAY_APP cd %~dp0 start jre\bin\javaw.exe -Xms16m -Xmx32m -Dfile.encoding=UTF-8 -cp ..\lib\* com.firstlinesoftware.smartauthclient.updater.TrayAppLauncher if %errorlevel% neq 0 exit %errorlevel% Ссылка на комментарий Поделиться на другие сайты Поделиться
regist Опубликовано 7 июня, 2018 Поделиться Опубликовано 7 июня, 2018 Включите обнаружение нежелательных программ, обновите базы. После этого выполните полную проверку и проверьте проблему. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти