Тоже MEM:Trojan.Win32.Adject.gen

[Ржавыйчайник]

Здравствуйте!

 

Несколько дней бьюсь с этим вирусом. Помогите, пожалуйста!

[SQ]

Порядок оформления запроса о помощи

[Ржавыйчайник]

Прошу прощения, на форуме впервые, файл прикрепляла еще в первом сообщении, но не нажала кнопку "загрузить".

CollectionLog-2018.07.29-10.59.zip

[thyrex]

Пополните базу чистых объектов, пожалуйста.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Ржавыйчайник]

Отчет прилагаю.

 

Базу чистых объектов пополнить не могу из-за ограничения в 80 МВ. У меня под 200...

Desktop1111.zip

Изменено 29 июля, 2018 пользователем Ржавыйчайник

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [516608 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [516608 2018-04-12] (Microsoft Corporation)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
S2 MicroService; C:\WINDOWS\System32\svchost.exe [44520 2018-04-12] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
2018-07-12 11:12 - 2018-07-12 11:12 - 000000258 __RSH C:\Users\Elena Lim\ntuser.pol
2018-07-12 10:50 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Roaming\kgykdmqiaxt
2018-07-12 10:49 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Roaming\cjdbuq0hhmc
2018-07-12 10:48 - 2018-07-12 10:49 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2018-07-12 10:48 - 2018-07-12 10:49 - 000000258 __RSH C:\ProgramData\ntuser.pol
2018-07-12 10:45 - 2018-07-28 13:46 - 000000000 ____D C:\Users\Все пользователи\WindowsMenu
2018-07-12 10:45 - 2018-07-28 13:46 - 000000000 ____D C:\ProgramData\WindowsMenu
2018-07-12 10:42 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Roaming\31zcz33ytez
2018-07-12 10:41 - 2018-07-12 10:46 - 000929792 _____ C:\Users\Elena Lim\AppData\Local\sham.db
2018-07-12 10:41 - 2018-07-12 10:41 - 000140800 _____ C:\Users\Elena Lim\AppData\Local\installer.dat
2018-07-12 10:41 - 2018-07-12 10:41 - 000011568 _____ C:\Users\Elena Lim\AppData\Local\InstallationConfiguration.xml
2018-07-12 10:38 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Roaming\bernhnwxinu
2018-07-12 10:33 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Local\XService
2018-07-12 10:33 - 2018-07-12 11:11 - 000000000 ____D C:\Users\Elena Lim\AppData\Local\WhiteClick
FirewallRules: [{F0BF9A3B-9862-4974-909B-BE422A84FCA6}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
FirewallRules: [{17733EE9-81E3-445D-96BE-658DA5504AC0}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe
Task: {1CD18442-AC75-473E-BC8C-C8D99C2A4E40} - System32\Tasks\VKDJ => C:\ProgramData\MuzLa\MuzLa.exe <==== ATTENTION
Task: {5C56498C-194D-4930-BF73-269C76EC9F20} - \Microsoft\QuickLaunch -> No File <==== ATTENTION
Task: {8C6584B6-68E8-4F58-98A3-FDCDB0022FAB} - System32\Tasks\MuzLa => C:\ProgramData\MuzLa\MuzLa.exe <==== ATTENTION
Task: {9D1BCC13-DAD0-4B2B-866A-BA1A1CFE9D80} - \Microsoft\Windows\Starter -> No File <==== ATTENTION
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
UpdateAssistant (HKLM\...\{DE6D7469-B5F8-473E-AD8E-4C2BF29EECBA}) (Version: 1.13.0.0 - Microsoft Corporation) Hidden
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Ржавыйчайник]

Готово

Fixlog.txt

[akoK]

Что с проблемой?

[Ржавыйчайник]

Здравствуйте!

 

Как пополнить базу чистых объектов, если стоит ограничение 80 МВ, а у меня файл около 200?

[thyrex]

Попробуйте перепаковать архив по частям с подходящим размером

[regist]

 

 

Попробуйте перепаковать архив по частям с подходящим размером

не сработает.

 

@Ржавыйчайник, какой размер архива получился? Попробуйте сюда http://virusinfo.info/virusdetector/uploadform.php

 

+ у вас был сбой при сборе логов в начале темы. Поэтому просьба

 

1)

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

2) Сделайте лог этой утилитой.

[Ржавыйчайник]

Готово

Report.7z

HiJackThis.log

[regist]

@Ржавыйчайник, Запустите HiJackThis, нажмите вверху меню "Tools" => "Files" => Digital Signature Checker,

в открывшееся окно вставьте такой список:

C:\WINDOWS\system32\fxssvc.exe
c:\Windows\system32\ntdll.dll
C:\WINDOWS\System32\AxInstSV.dll
C:\WINDOWS\System32\svchost.exe
C:\Windows\System32\MRT.exe

Нажмите кнопку "Go".

Заархивируйте отчёт DigiSign.csv и прикрепите к своему сообщению.

[Ржавыйчайник]

Готово

DigiSign.zip

[Ржавыйчайник]

 

Попробуйте перепаковать архив по частям с подходящим размером

не сработает.

 

@Ржавыйчайник, какой размер архива получился? Попробуйте сюда http://virusinfo.info/virusdetector/uploadform.php

 

 

Архив отправлен. https://virusinfo.info/showthread.php?t=219773

Пока тишина

Изменено 30 июля, 2018 пользователем Ржавыйчайник