Вирус MEM:Trojan.Win32.Adject.gen

[honest7]

Здравствуйте.

Касперский обнаружил вирус MEM:Trojan.Win32.Adject.gen в системной памяти, вылечить с перезагрузкой не получается.

Логи прикрепил.

CollectionLog-2018.07.27-18.30.zip

[thyrex]

Ace Stream Media 3.1.28 удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe','');
 QuarantineFile('C:\Program Files (x86)\yaolwXGxxrAU2\ZLxwTTJiJnKCV.dll','');
 QuarantineFile('C:\Program Files (x86)\zfLNassuzpDxC\reQSTZs.dll','');
 TerminateProcessByName('c:\users\Байжанов\appdata\roaming\acestream\engine\ace_engine.exe');
 QuarantineFile('C:\Windows\System32\drivers\powzip.sys','');
 QuarantineFile('c:\programdata\windowsmenu\westat.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream');
 DeleteFile('C:\Users\Байжанов\AppData\Roaming\ACEStream\engine\ace_engine.exe','32');
 DeleteFile('c:\users\Байжанов\appdata\roaming\acestream\engine\ace_engine.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\heCowIfQqSuzYJ','64');
 DeleteFile('C:\Windows\system32\Tasks\MgpeKOGXlCeKqpkYxSV2','64');
 DeleteFile('C:\Program Files (x86)\zfLNassuzpDxC\reQSTZs.dll','32');
 DeleteFile('C:\Program Files (x86)\yaolwXGxxrAU2\ZLxwTTJiJnKCV.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\QuickLaunch','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Starter','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[honest7]

Выполнил. Файлы прикрепил.

CollectionLog-2018.07.27-20.14.zip

ClearLNK-2018.07.27_20.09.33.log

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[honest7]

Сделано

scan.rar

[thyrex]

Расширения

Блокировщик Рекламы Для Ютуба™

Ace Script

WeatherBug

удалите в Хроме

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3774338141-444949816-2269622770-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkxjCOifqaTYJGPhndQ7E323--xVxfOiquRM6qMfUf5XlecbecHXi-LcNeH5gNe2dXz0OQy-5DkV0_tWG2wWSuG31iENmAWkBsIJfFxnR6b4UKKOu_ujA3xnMQHpX_UzdFeOwFzylJmOPTXKH9I9mv019WFEGNiw0Qf1nD-GEQ,,&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkxjCOifqaTYJGPhndQ7E323--xVxfOiquRM6qMfUf5XlecbecHXi-LcNeH5gNe2dXz0OQy-5DkV0_tWG2wWSuG31iENmAWkBsIJfFxnR6b4UKKOu_ujA3xnMQHpX_UzdFeOwFzylJmOPTXKH9I9mv019WFEGNiw0Qf1nD-GEQ,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3774338141-444949816-2269622770-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkxjCOifqaTYJGPhndQ7E323--xVxfOiquRM6qMfUf5XlecbecHXi-LcNeH5gNe2dXz0OQy-5DkV0_tWG2wWSuG31iENmAWkBsIJfFxnR6b4UKKOu_ujA3xnMQHpX_UzdFeOwFzylJmOPTXKH9I9mv019WFEGNiw0Qf1nD-GEQ,,&q={searchTerms}
C:\Users\Байжанов\AppData\Local\Google\Chrome\User Data\Default\Extensions\dccefhjaifdmpkjcbiojjennojmedchc
C:\Users\Байжанов\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
CHR HKU\S-1-5-21-3774338141-444949816-2269622770-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2018-07-07 23:03 - 2018-07-08 00:01 - 000000000 ____D C:\Users\Байжанов\AppData\Local\XService
2018-07-07 23:03 - 2018-07-07 23:44 - 000000000 ____D C:\Users\Все пользователи\ff5fa588-4227-0
2018-07-07 23:03 - 2018-07-07 23:44 - 000000000 ____D C:\Users\Все пользователи\ff5fa588-1553-1
2018-07-07 23:03 - 2018-07-07 23:44 - 000000000 ____D C:\ProgramData\ff5fa588-4227-0
2018-07-07 23:03 - 2018-07-07 23:44 - 000000000 ____D C:\ProgramData\ff5fa588-1553-1
2018-07-07 23:37 - 2018-07-07 23:37 - 000000000 ____D C:\Users\Байжанов\AppData\LocalLow\cnOgaNtVaNULS
2018-07-07 23:34 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\4qwtqv3klg5
2018-07-07 23:02 - 2018-07-08 00:06 - 000000000 ____D C:\Users\Все пользователи\qddGHEDCBPKSMPVB
2018-07-07 23:02 - 2018-07-08 00:06 - 000000000 ____D C:\ProgramData\qddGHEDCBPKSMPVB
2018-07-07 23:02 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\d450szbmxu0
2018-07-07 23:02 - 2018-07-07 23:02 - 007631872 _____ C:\Users\Байжанов\AppData\Local\agent.dat
2018-07-07 23:02 - 2018-07-07 23:02 - 001988690 _____ C:\Users\Байжанов\AppData\Local\Joblux.tst
2018-07-07 23:02 - 2018-07-07 23:02 - 000126464 _____ C:\Users\Байжанов\AppData\Local\noah.dat
2018-07-07 23:02 - 2018-07-07 23:02 - 000070896 _____ C:\Users\Байжанов\AppData\Local\Config.xml
2018-07-07 23:02 - 2018-07-07 23:02 - 000015610 _____ C:\Windows\SysWOW64\findit.xml
2018-07-07 23:02 - 2018-07-07 23:02 - 000005568 _____ C:\Users\Байжанов\AppData\Local\md.xml
2018-07-07 23:02 - 2018-07-07 23:02 - 000000000 ____D C:\Users\Все пользователи\Voyasollams
2018-07-07 23:02 - 2018-07-07 23:02 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble
2018-07-07 23:02 - 2018-07-07 23:02 - 000000000 ____D C:\ProgramData\Voyasollams
2018-07-07 23:02 - 2018-07-07 23:02 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-07-07 23:01 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\s3qbdovif4k
2018-07-07 23:01 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\qdrnpkzj5k3
2018-07-07 23:01 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\koxv5y4pfpp
2018-07-07 23:01 - 2018-07-07 23:39 - 000929792 _____ C:\Users\Байжанов\AppData\Local\sham.db
2018-07-07 23:01 - 2018-07-07 23:02 - 000016080 _____ C:\Users\Байжанов\AppData\Local\InstallationConfiguration.xml
2018-07-07 23:01 - 2018-07-07 23:01 - 000140800 _____ C:\Users\Байжанов\AppData\Local\installer.dat
2018-07-07 23:01 - 2018-07-07 23:01 - 000003056 __RSH C:\Users\Все пользователи\ntuser.pol
2018-07-07 23:01 - 2018-07-07 23:01 - 000003056 __RSH C:\ProgramData\ntuser.pol
2018-07-07 23:00 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\gpp5iys1vfo
2018-07-07 23:00 - 2018-07-07 23:51 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\fm355hh0f33
2018-07-07 23:00 - 2018-07-07 23:39 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu
2018-07-07 23:00 - 2018-07-07 23:39 - 000000000 ____D C:\ProgramData\WindowsMenu
2018-07-07 23:00 - 2018-07-07 23:04 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\DRPSu
2018-07-07 23:00 - 2018-07-07 23:00 - 000000003 _____ C:\Users\Байжанов\AppData\Local\wbem.ini
2018-07-07 21:59 - 2018-07-27 19:49 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\.ACEStream
2018-07-07 21:55 - 2018-07-07 21:55 - 000000000 ____D C:\Users\Байжанов\AppData\LocalLow\.ACEStream
2018-07-07 21:54 - 2018-07-27 19:57 - 000000000 ____D C:\Users\Байжанов\AppData\Roaming\ACEStream
2018-07-07 23:01 - 2018-07-07 23:01 - 001131433 _____ (                                                            ) C:\Users\Байжанов\AppData\Local\Temp\whiteclick.exe
2018-07-07 23:02 - 2018-07-07 23:02 - 000375522 _____ (                                                            ) C:\Users\Байжанов\AppData\Local\Temp\ysmcxl1rob3.exe
Task: {05787A39-C9D8-4A5B-AC18-0B96D7EFF916} - \{93064410-4F55-48C8-8A98-1C00ECEE8880} -> No File <==== ATTENTION
Task: {235647A2-B4AA-4F4C-98B0-09F33E33FD33} - \MgpeKOGXlCeKqpkYxSV2 -> No File <==== ATTENTION
Task: {3CFED93C-FE2F-4EFF-B9C5-ABF70F8C9C09} - \dqUvxAMLDajqkAKky2 -> No File <==== ATTENTION
Task: {4A3BA31B-CB4E-4ABC-AF53-F1FF102C2699} - \{AB1ECD89-22E1-E21A-12C2-1327ADCABC26} -> No File <==== ATTENTION
Task: {51775E97-36B7-4049-91B3-4A548FD022CD} - \Microsoft\QuickLaunch -> No File <==== ATTENTION
Task: {95DBD41A-47D1-4FD6-A2AF-053B2BEB0506} - \heCowIfQqSuzYJ -> No File <==== ATTENTION
Task: {97CC547E-1B7C-4E0C-9DE6-F3E0159CB015} - \EqpFSOLlowVuQ2 -> No File <==== ATTENTION
Task: {B6211C3F-1257-40F5-BC90-7AF93979EE93} - \{1A526D4E-A1BF-C039-9F4F-AC9450DF21E1} -> No File <==== ATTENTION
Task: {E8F63617-0725-4A7E-B1A1-A7BF1D4AEDF0} - \Microsoft\Windows\Starter -> No File <==== ATTENTION
Task: {E976CC6D-0529-4DC9-89AE-7A5B9BC62238} - \PPejCupzujabRKM2 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[honest7]

Сделано

Fixlog.txt

Изменено 27 июля, 2018 пользователем honest7

[thyrex]

Что с проблемой?

[honest7]

Что с проблемой?

Kaspersky все равно находит этот троян

[thyrex]

Сделайте лог МВАМ

[honest7]

Лог

mbam.txt

[thyrex]

Поместите в карантин МВАМ все найденное

[honest7]

Поместите в карантин МВАМ все найденное

Сделал, но все равно троян обнаруживается

[thyrex]

Очистите отчеты антивируса с найденными угрозами, перезагрузите компьютер и выполните проверку антивирусом. Сообщите результат.

[honest7]

Быстрая проверка ничего не обнаружила. Большое спасибо