Вирус MEM:Trojan.Win32.Adject.Gen

[MoL4uN87]

По ходу у всех этот вирус!

У меня сегодня утром вылез. Перезагрузка не помогает

Здравствуйте! 

Дополняю тему:

1. Установил и проверил компьютер KVRT.exe (Вирус обнаружен, удаление и перезагрузка от программы не помогли).

2. Запустил AutoLogger-test.exe 

3. Прикрепил логи.

CollectionLog-2018.07.28-11.27.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8583902');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8419845');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5105162');
 DeleteFile('C:\Users\vovam\AppData\Roaming\ubistlzcppk\lfupjx2pvlu.exe','32');
 DeleteFile('C:\Users\vovam\AppData\Roaming\icxejtau0gg\gbda4q1webm.exe','32');
 DeleteFile('C:\Users\vovam\AppData\Roaming\nlvvqln33km\rof4ljdnfkb.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','x64');
 DeleteFile('C:\Users\vovam\AppData\Roaming\curl\curl_7_54.exe','64');
 DeleteFile('C:\Users\vovam\AppData\Roaming\curl\curl.exe','64');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\QuickLaunch','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Starter','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Поиcк в Интeрнете Updater','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[MoL4uN87]

Прикрепил новые логи.

CollectionLog-2018.07.29-18.33.zip

Изменено 29 июля, 2018 пользователем MoL4uN87

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[MoL4uN87]

прикрепил

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-21-604094974-1358568366-1256874379-1000\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
Toolbar: HKU\S-1-5-21-604094974-1358568366-1256874379-1001 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193160 2018-07-09] (Nice Pulle Science and Technology Ltd.)
C:\WINDOWS\System32\drivers\powzip.sys
2018-07-15 00:18 - 2018-07-15 00:25 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2018-07-15 00:18 - 2018-07-15 00:25 - 000000004 _____ C:\ProgramData\lock.dat
2018-07-15 00:18 - 2018-07-15 00:18 - 000000004 _____ C:\Users\Все пользователи\irw.flle
2018-07-15 00:18 - 2018-07-15 00:18 - 000000004 _____ C:\ProgramData\irw.flle
2018-07-15 00:04 - 2018-07-15 08:37 - 000000000 ____D C:\Users\Все пользователи\Voyasollam
2018-07-15 00:04 - 2018-07-15 08:37 - 000000000 ____D C:\ProgramData\Voyasollam
2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\423d800c-6d71-1
2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\423d800c-2d53-0
2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\423d800c-6d71-1
2018-07-15 00:04 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\423d800c-2d53-0
2018-07-15 00:04 - 2018-07-15 00:04 - 007631872 _____ C:\Users\vovam\AppData\Local\agent.dat
2018-07-15 00:04 - 2018-07-15 00:04 - 001988316 _____ C:\Users\vovam\AppData\Local\K-Sanit.tst
2018-07-15 00:04 - 2018-07-15 00:04 - 000126464 _____ C:\Users\vovam\AppData\Local\noah.dat
2018-07-15 00:04 - 2018-07-15 00:04 - 000070896 _____ C:\Users\vovam\AppData\Local\Config.xml
2018-07-15 00:04 - 2018-07-15 00:04 - 000005568 _____ C:\Users\vovam\AppData\Local\md.xml
2018-07-15 00:04 - 2018-07-15 00:04 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-07-15 00:03 - 2018-07-23 23:56 - 000000000 ____D C:\Users\vovam\AppData\Local\WhiteClick
2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\1b8f14fe-42c7-1
2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\1b8f14fe-0e31-0
2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\1b8f14fe-42c7-1
2018-07-15 00:03 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\1b8f14fe-0e31-0
2018-07-15 00:03 - 2018-07-15 00:03 - 000929792 _____ C:\Users\vovam\AppData\Local\sham.db
2018-07-15 00:03 - 2018-07-15 00:03 - 000140800 _____ C:\Users\vovam\AppData\Local\installer.dat
2018-07-15 00:03 - 2018-07-15 00:03 - 000016080 _____ C:\Users\vovam\AppData\Local\InstallationConfiguration.xml
2018-07-15 00:03 - 2018-07-15 00:03 - 000000000 ____D C:\WINDOWS\IObit
2018-07-15 00:02 - 2018-07-25 12:07 - 000000000 ____D C:\Users\vovam\AppData\Roaming\ddrmerylmgf
2018-07-15 00:02 - 2018-07-15 00:29 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu
2018-07-15 00:02 - 2018-07-15 00:29 - 000000000 ____D C:\ProgramData\WindowsMenu
2018-07-15 00:02 - 2018-07-15 00:23 - 000003038 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (vovam)
2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\Users\vovam\AppData\LocalLow\IObit
2018-07-15 00:02 - 2018-07-15 00:03 - 000000000 ____D C:\ProgramData\IObit
2018-07-15 00:02 - 2018-07-15 00:02 - 000000000 ____D C:\Users\vovam\AppData\Local\Hostinstaller
2018-07-15 00:01 - 2018-07-15 00:17 - 000000000 ____D C:\Users\vovam\AppData\Local\XService
2018-07-15 00:01 - 2018-07-15 00:01 - 000000003 _____ C:\Users\vovam\AppData\Local\wbem.ini
1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\YiskEkYf.exe
CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-604094974-1358568366-1256874379-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\vovam\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => No File
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ContextMenuHandlers1: [Adobe.Acrobat.ContextMenu] -> {A6595CD1-BF77-430A-A452-18696685F7C7} => C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat Elements\ContextMenuShim64.dll -> No File
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\vovam\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
Task: {3FEA1C4E-193D-43DD-BC27-C9459D5B7F7F} - \Microsoft\Windows\Starter -> No File <==== ATTENTION
Task: {4393AE0C-FFB2-4E6F-9CC4-9F5E437C59B3} - \curls -> No File <==== ATTENTION
Task: {51E56A8F-A0DE-436B-9D97-B7F274F086DF} - \Поиcк в Интeрнете Updater2 -> No File <==== ATTENTION
Task: {9321B4AD-600F-48F1-AB8A-7C6CB1B9169B} - \Microsoft\QuickLaunch -> No File <==== ATTENTION
Task: {A5DA2B05-1216-408F-A4A4-C0C96C69CDF9} - System32\Tasks\Driver Booster SkipUAC (vovam) => C:\Program Files (x86)\IObit\Driver Booster\5.5.1\DriverBooster.exe
Task: {C467B9E5-245C-4CE5-B893-5236C1F110A6} - \Поиcк в Интeрнете Updater -> No File <==== ATTENTION
Task: {C78DD609-052C-4BC9-A4B0-2DB9FAB03AB4} - \curl -> No File <==== ATTENTION
Task: {F4500958-3611-440E-8733-575F19C682C7} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "QIPApp"
HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "5105162"
HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "8419845"
HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "8583902"
HKU\S-1-5-21-604094974-1358568366-1256874379-1001\...\StartupApproved\Run: => "9836859"
FirewallRules: [{6A23A4E7-A62E-44C5-8140-C6DD7E5A3017}] => (Allow) C:\WINDOWS\HUeuOY.exe
FirewallRules: [{AA7B4576-1037-47AE-9A6E-EF799E5F5678}] => (Allow) C:\Program Files (x86)\Common Files\YiskEkYf.exe
FirewallRules: [{2C80DE3D-F6AD-435B-B7D2-736733E7CA59}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
FirewallRules: [{7D7EFC74-544A-4DCF-82B5-74038F9C9B34}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
FirewallRules: [{5EF8F09C-4E1E-47CF-ADE1-634EBD28C79D}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
FirewallRules: [{78B42947-5A56-4C6F-8259-28F23F71DF0D}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
C:\ProgramData\WindowsMenu
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[MoL4uN87]

Прикрепил.

Fixlog.txt

Изменено 29 июля, 2018 пользователем MoL4uN87

[thyrex]

Проблема решена?

[MoL4uN87]

Проблема решена?

Да, спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.