Sazabi Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 (изменено) Добрый день, Не могу избавиться от Trojan.Multi.Miner.gen. Появляется в памяти на сл день после удаления. KIS удаляет, но без толку. Вот сегодня опять... Параллелньо с ним появляются и др. бякушки. CollectionLog-2018.06.06-14.07.zip Изменено 6 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\Enumerator\enumerator.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Enumerator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ExtendedConsole" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Common Files\Enumerator\enumerator.exe', '64'); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 Malwarebytes Anti-Malware - раз уже поставили, то покажите его лог. + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. + - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 (изменено) Собрался выполнять рекомендации, Каспер ругнулся на еще один троян. KLAN-8184479888 Лог Malwarebytes Anti-Malware прикрепил. Лог ClearLNK прикрепил. virus_info весит дофига и все еще подгружается. virus_info два раза сайт вывалился, никак не получается подгрузить, 80МБ. О, пришло сообщение от virusinfo: https://virusinfo.info/showthread.php?t=219203 https://virusinfo.info/virusdetector/report.php?md5=F717FF775A5FDCBD76E69DF62B32E56A MAM.txt ClearLNK-2018.06.06_15.44.42.log Изменено 6 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 @Sazabi, добавьте файлы в карантин AVZ по списку C:\Program Files (x86)\InstallShield Installation Information\{FA285575-B543-4E6E-A573-A5F534AC9955}\msdtc.exe C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe C:\Program Files (x86)\InstallShield Installation Information\{FB231245-B521-BEF3-C321-D5D534AB1121}\orch_disabler.exe C:\Program Files (x86)\InstallShield Installation Information\{BB281145-A521-2EF3-B593-C5D534DC9911}\orchestrator.exe архив с карантином закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 6 июня, 2018 Автор Share Опубликовано 6 июня, 2018 Повторный лог CollectionLog-2018.06.06-16.19.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 6 июня, 2018 Share Опубликовано 6 июня, 2018 C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat этот файл вам знаком? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{BB281145-A521-2EF3-B593-C5D534DC9911}\orchestrator.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{FB231245-B521-BEF3-C321-D5D534AB1121}\orch_disabler.exe', ''); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe', ''); QuarantineFile('C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe', ''); QuarantineFile('C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat', ''); QuarantineFileF('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Program Files (x86)\InstallShield Installation Information\Tasks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Program Files (x86)\Windows NT\Hostprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\VSTE\service.exe', '64'); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft\Windows\Security\windefend.exe', '64'); DeleteFile('C:\Program Files (x86)\InstallShield Installation Information\{FA285575-B543-4E6E-A573-A5F534AC9955}\msdtc.exe', '64'); DeleteFile('C:\Program Files (x86)\InstallShield Installation Information\Tasks\taskscleaner.exe', '64'); DeleteFile('C:\Program Files (x86)\Windows NT\Hostprotector\hostprotector.exe', '64'); ExecuteFile('schtasks.exe', '/delete /TN "Enumerator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ExtendedConsole" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Hostfixer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MDTCS" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ServiceCoordinator" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Taskcleaner" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Taskorganizer" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KNPPlugin'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 7 июня, 2018 Автор Share Опубликовано 7 июня, 2018 (изменено) Добрый день, По knpPluginLogonTask.bat - нет, не знаю такого. Не помню, по крайней мере. Карантин отправил - KLAN-8189822359. Свежий лог в приложении. Virusinfo прислали дополнение только что: https://virusinfo.info/virusdetector/report.php?md5=F717FF775A5FDCBD76E69DF62B32E56A https://virusinfo.info/showthread.php?t=219203 CollectionLog-2018.06.07-11.22.zip Изменено 7 июня, 2018 пользователем Sazabi Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 7 июня, 2018 Share Опубликовано 7 июня, 2018 Полученный ответ сообщите здесьПо этому карантину и по предыдущему, пожалуйста. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 7 июня, 2018 Автор Share Опубликовано 7 июня, 2018 Полученный ответ сообщите здесьПо этому карантину и по предыдущему, пожалуйста. Предыдущий - KLAN-8184479888 Новый - KLAN-8189822359 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 7 июня, 2018 Share Опубликовано 7 июня, 2018 Номер Вы сообщили, а ответ по файлам не процитировали. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 7 июня, 2018 Автор Share Опубликовано 7 июня, 2018 Номер Вы сообщили, а ответ по файлам не процитировали. Простите, исправляюсь: KLAN-8184479888 В антивирусных базах информация по присланным вами файлам отсутствует: windefend.exe KLAN-8189822359 В следующих файлах обнаружен вредоносный код: service.exe - Trojan.Win64.Agent.kzg taskscleaner.exe - Trojan-Downloader.Win32.Miner.eh hostprotector.exe - Trojan-Downloader.Win32.Miner.ei В антивирусных базах информация по присланным вами файлам отсутствует: orchestrator.exe orch_disabler.exe knpPluginLogonTask.bat В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству: config.json - not-a-virus:RiskTool.HTML.Miner.b Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 7 июня, 2018 Share Опубликовано 7 июня, 2018 По knpPluginLogonTask.bat - нет, не знаю такого. Не помню, по крайней мере. откройте его блокнотом и напишите тут содержимое. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sazabi Опубликовано 7 июня, 2018 Автор Share Опубликовано 7 июня, 2018 @echo off rem =========================================================================== rem === === rem === This scripts perform knp plugin logon task: === rem === 1. Install ssl certs into mozzilla's profiles === rem === 2. Start knpPlugin tray app === rem === === rem === Usage: === rem === knpPluginLogonTask.bat === rem === === rem =========================================================================== setlocal EnableDelayedExpansion :INSTALL_SSL_CERTS_INTO_MOZILLA set certutilPath=%~dp0certs\mozilla\certutil.exe FOR /f "tokens=1,2 delims==" %%b in ('find "Path" "%APPDATA%\Mozilla\Firefox\profiles.ini"') DO ( SET currkey=%%b SET currval=%%c IF [!currval!]==[] ( REM ) ELSE ( IF EXIST "%APPDATA%\Mozilla\Firefox\!currval:Profiles/=Profiles\!\cert8.db" ( for /r "%~dp0..\certs\" %%i in (*.crt) do ( for %%j in ("%%i") do ( set filename=%%~nj ) !certutilPath! -A -n "smauth_!filename!" -t "TCu,Cuw,Tuw" -i "%%i" -d "%APPDATA%\Mozilla\Firefox\!currval:Profiles/=Profiles\!" ) ) ELSE ( for /r "%~dp0..\certs\" %%i in (*.crt) do ( for %%j in ("%%i") do ( set filename=%%~nj ) !certutilPath! -A -n "smauth_!filename!" -t "TCu,Cuw,Tuw" -i "%%i" -d "!currval!" ) ) ) ) setlocal DisableDelayedExpansion :START_TRAY_APP cd %~dp0 start jre\bin\javaw.exe -Xms16m -Xmx32m -Dfile.encoding=UTF-8 -cp ..\lib\* com.firstlinesoftware.smartauthclient.updater.TrayAppLauncher if %errorlevel% neq 0 exit %errorlevel% Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 7 июня, 2018 Share Опубликовано 7 июня, 2018 Включите обнаружение нежелательных программ, обновите базы. После этого выполните полную проверку и проверьте проблему. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти