Неизлечимый mem trojan.win32.stantinko.gen

[Павел Степанов]

Добрый день! 

Несколько дней Касперский Free находит в Системной памяти mem trojan.win32.stantinko.gen. Предлагает лечить перезагрузкой - эффекта ноль.

С KVRT ситуация аналогичная.

Лог во вложении. Пожалуйста, помогите побороть)

 

CollectionLog-2018.06.18-14.20.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\themctrl.dll', '');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\Windows\system32\themctrl.dll', '');
 DeleteFile('C:\Windows\System32\themctrl.dll', '32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 18 июня, 2018 пользователем Sandor

[Павел Степанов]

KLAN-8247588412

 

Логи во вложении.

Касперский все также находит вирус(

CollectionLog-2018.06.18-16.07.zip

[Sandor]

Номер KLAN Вы сообщили, а ответ забыли.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Павел Степанов]

Прошу прощения, отчеты во вложении, ответ ниже:

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
themctrl.dll
clearcache.dll
autorun.inf

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
Sent: 6/18/2018 3:55:00 PM
To: newvirus@kaspersky.com
Subject: newvirus

Addition.txt

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ShortcutTarget: Canon LBP3300 Status Window.lnk -> C:\$Recycle.Bin\S-1-5-21-195018870-3779631887-2232896579-1002\$RFQ4G9H.EXE ()
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-195018870-3779631887-2232896579-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B77F5894B-A227-4C3F-AB37-358CF3DE0EEA%7D&gp=789219
  SearchScopes: HKU\S-1-5-21-195018870-3779631887-2232896579-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B77F5894B-A227-4C3F-AB37-358CF3DE0EEA%7D&gp=789219
  FF user.js: detected! => C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\l6uom87c.default\user.js [2015-12-16]
  FF HomepageOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: homepage@mail.ru
  FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Disabled: {a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
  FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: search@mail.ru
  FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: homepage@mail.ru
  CHR HomePage: Default -> inline.go.mail.ru
  CHR StartupUrls: Default -> "www.top-page.ru/?from=us","hxxp://searchfunmoods.com/?f=1&a=iron2&cd=2XzuyEtN2Y1L1Qzu0C0C0BtByDyDtDtB0F0FtC0D0AyDyBtAtN0D0Tzu0CyEtBtAtN1L2XzutBtFtBtFtCtFyDtDtAtN1L1Czu1L1C1F1GtB&cr=1347269179&ir=","hxxp://mail.ru/cnt/10445?gp=789214"
  CHR NewTab: Default ->  Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
  Task: {492365AD-B843-426E-9AB8-205FA39CFECD} - \WPD\SqmUpload_S-1-5-21-195018870-3779631887-2232896579-1001 -> No File <==== ATTENTION
  Task: {FBE42A37-92BB-4CA4-943D-C8E12F450453} - \Optimize Start Menu Cache Files-S-1-5-21-195018870-3779631887-2232896579-1001 -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Павел Степанов]

А скопированный текст куда вставлять?

[Sandor]

Я ничего не забыл, если Вы об этом

Скопировать, запустить, нажать Fix.

[Павел Степанов]

Извиняюсь за задержку. Файл во вложении.

Fixlog.txt

[regist]

@Павел Степанов, свежие логи FRST сделайте.

[Павел Степанов]

Ээээм, хорошо, я вроде после перезагрузки сделал их. Сейчас еще раз во вложении прикрепил.

Fixlog.txt

[regist]

 

 

Ээээм, хорошо, я вроде после перезагрузки сделал их. Сейчас еще раз во вложении прикрепил.

я не про это - это отчёт о фиксе. А нужны новые логи сканирования frst.

[Павел Степанов]

Сорри, это я невнимательно прочитал. Во вложении отчеты.

FRST.txt

Addition.txt

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Task: {9FD30974-06B1-4FEA-9A80-7BC3E64F0B32} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Пользователь\AppData\Roaming\ProShopper\ProShopper.exe <==== ATTENTION
  ShortcutWithArgument: C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9eeba61e85febcf9\Визуальные Закладки Mail.Ru.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=oelpkepjlgmehajehfeicfbjdiobdkfj
  FirewallRules: [TCP Query User{DCFB2FED-8414-491F-9E03-657E97436058}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
  FirewallRules: [UDP Query User{2129038E-D49F-44D1-B471-917B3353FC96}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
  FirewallRules: [{4D4B312D-342E-46B5-998C-87E0C03F3F35}] => (Allow) C:\program files\common files\tencent\qqdownload\131\tencentdl.exe
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {22db2eeb-ab63-11e3-9743-bc5ff4bc2cec} - "F:\AutoRun.exe"
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {22db2f4f-ab63-11e3-9743-bc5ff4bc2cec} - "F:\AutoRun.exe"
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {2ca0901c-5f69-11e3-9715-806e6f6e6963} - "E:\setup.exe"
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {53474c3e-b659-11e3-9743-bc5ff4bc2cec} - "G:\AutoRun.exe"
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {5cff8348-a03f-11e3-9741-bc5ff4bc2cec} - "F:\SISetup.exe"
  HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {68dbf1cc-6012-11e3-971d-806e6f6e6963} - "E:\setup.exe"
  ShortcutTarget: Canon LBP3300 Status Window.lnk -> C:\$Recycle.Bin\S-1-5-21-195018870-3779631887-2232896579-1002\$RFQ4G9H.EXE ()
  OPR Extension: (Ultimate Discounter) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2016-04-05]
  OPR Extension: (The Safe Surfing) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-04-27]
  OPR Extension: (Teddy Protection Lite) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-07-20]
  S2 themctrl; C:\Windows\System32\svchost.exe [31552 2013-08-22] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  R2 wbiosrvp; C:\Windows\System32\wbiosrvp.dll [413184 2013-10-22] () [File not signed]
  C:\Windows\System32\wbiosrvp.dll
  S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\QMUdisk.sys [X]
  S3 softaal; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\softaal.sys [X]
  S3 TcHardWare; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\QQPCHW.sys [X]
  S2 tsnethlp; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\TsNetHlp.sys [X]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Павел Степанов]

Файл во вложении.

Fixlog.txt