Тоже MEM:Trojan.Win32.Adject.gen

[thyrex]

Скопируйте на рабочий стол папку: c:\Windows\System32\catroot

Упакуйте в архив, загрузите на sendspace.com и пришлите ссылку в тему

[Ржавыйчайник]

Скопируйте на рабочий стол папку: c:\Windows\System32\catroot

 

Упакуйте в архив, загрузите на sendspace.com и пришлите ссылку в тему

Их две (папки): CatRoot и catroot2. Упаковала обе в один архив.

https://www.sendspace.com/file/u9gc78

[Ржавыйчайник]

Странно, все уже вылеченные с моим вирусом сидят, даже кто позже обратился. Походу про меня забыли

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('powzip', 4);
 QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\powzip.sys','32');
DeleteService('powzip');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Ржавыйчайник]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('powzip', 4);
 QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\powzip.sys','32');
DeleteService('powzip');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

c:\quarantine.zip

 

Результат загрузки

Файл сохранён как

180802_061949_quarantine_5b62a2850e35a.zip

Размер файла

1030

MD5

d85d2f2676fb918d01bcd08d6516ecee

powzip.log

CollectionLog-2018.08.02-16.48.zip

[thyrex]

Проблема решена?

[Ржавыйчайник]

Антивирус не нашел ничего.

Утилита KVRT - тоже ничего.

Спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Ржавыйчайник]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 02.08.2018 18:10:54
Path starting: C:\Users\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: 
VersionXML: 5.27is-25.07.2018
___________________________________________________________________________

Windows 10(6.3.17134) (x86) Core Версия: 1803 Lang: Russian(0419)
Дата установки ОС: 02.06.2018 15:56:56
Статус лицензии: Windows®, Core edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [27.9 Гб] Занято: [21.5 Гб] Свободно: [6.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.165.17134.0
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.18.0.0.405 Внимание! Скачать обновления
Kaspersky Secure Connection v.18.0.0.405
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44428 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.18.011.20055
--------------------------- [ RunningProcess ] ----------------------------
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.17134.165
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает
C:\Program Files\Kaspersky Lab\Kaspersky Free 18.0.0\avp.exe v.18.0.0.405
C:\Program Files\Kaspersky Lab\Kaspersky Free 18.0.0\avpui.exe v.18.0.0.405
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

 

 

Теперь можно очищать рабочий стол от хлама (логи, архивы и прочее)?

Изменено 2 августа, 2018 пользователем Ржавыйчайник

[thyrex]

Выполните рекомендации из лога, и на этом закончим лечение.

 

Теперь можно очищать рабочий стол от хлама (логи, архивы и прочее)?

Очищайте

[Ржавыйчайник]

Ура!

Спасибо!