MEM:Trojan.Win32.Adject.gen

[Евгений Ливанов]

нужна помощь

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Евгений Ливанов]

касперский тотал секюрити не может справиться с данным вирусом

[Soft]

@Евгений Ливанов, выполняйте рекомендации данные выше. 

[Евгений Ливанов]

Порядок оформления запроса о помощи

@Евгений Ливанов, выполняйте рекомендации данные выше. 

извините, не увидел что лог не прикрепился

вот лог

CollectionLog-2018.07.30-01.52.zip

CollectionLog-2018.07.30-01.52.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('prisafe', 4);
 DeleteService('prisafe');
 QuarantineFile('C:\Windows\System32\drivers\prisafe.sys','');
 DeleteFile('C:\Windows\System32\drivers\prisafe.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\GmsDeluxe-update','x32');
 DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','x32');
 DeleteFile('C:\PROGRA~1\FASTDA~1\FASTDA~1.EXE','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Евгений Ливанов]

Файл сохранён как 180729_171418_quarantine_5b5df5eaf4106.zip Размер файла 64386 MD5 1957ba745e39420a7b5a8e85e95dacc3

лог

CollectionLog-2018.07.30-02.20.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Евгений Ливанов]

готово

FRST+Addition.rar

[regist]

https://safezone.cc:443/threads/mem-trojan-win32-abject-gen.31851/#post-262865

Лечиться надо в одном месте. Выбирайте, где будете продолжать. Вторая тема будет закрыта.

[Евгений Ливанов]

продолжаем здесь

Дело в том, что сначала попал на тот форум, а не давно вы пропали из сети и я продолжил там... ссори

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
Toolbar: HKU\S-1-5-21-101107271-3487951559-116844017-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D896056717A6364494CA0EA1F8333A02&utm_d=20170413"
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2017-04-13 21:01 - 2017-04-13 21:01 - 000399336 ____N (Mail.Ru) C:\Users\Олеся\AppData\Local\Temp\2JDMJ1hSm6Dm.exe
2017-04-13 20:56 - 2017-04-13 20:56 - 000000000 _____ () C:\Users\Олеся\AppData\Local\Temp\5Qf3wnWgsseZ.exe
2017-04-13 20:56 - 2017-04-13 20:56 - 000000000 _____ () C:\Users\Олеся\AppData\Local\Temp\B6vntSqZVXHx.exe
2018-06-05 23:00 - 2018-06-05 23:00 - 000375522 _____ (                                                            ) C:\Users\Олеся\AppData\Local\Temp\dpy30stq2pz.exe
2017-04-13 20:56 - 2017-04-13 20:56 - 000000000 _____ () C:\Users\Олеся\AppData\Local\Temp\k988c4AS7gnL.exe
2017-04-13 20:56 - 2017-04-13 20:56 - 000000000 _____ () C:\Users\Олеся\AppData\Local\Temp\NeHetdLBlDG4.exe
CustomCLSID: HKU\S-1-5-21-101107271-3487951559-116844017-1000_Classes\CLSID\{0a598a1f-11e8-40ad-8f4b-274032ee2a93}\InprocServer32 -> C:\Users\Олеся\AppData\Local\Temp\v8_4AB5_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-101107271-3487951559-116844017-1000_Classes\CLSID\{17f5997e-ee53-44ab-8ac2-2159c1903ed1}\InprocServer32 -> C:\Users\Олеся\AppData\Local\Temp\v8_4AB5_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-101107271-3487951559-116844017-1000_Classes\CLSID\{4731b7ef-4c59-4151-af2b-ab213ac6ad6b}\InprocServer32 -> C:\Users\Олеся\AppData\Local\Temp\v8_4AB5_14.tmp => No File
CustomCLSID: HKU\S-1-5-21-101107271-3487951559-116844017-1000_Classes\CLSID\{94f2b2bc-6bf1-40b9-a1e4-73b23c8ecd1e}\InprocServer32 -> C:\Users\Олеся\AppData\Local\Temp\v8_4AB5_14.tmp => No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> No File
Task: {272F53F4-1273-47BD-8112-365C793FDFC8} - \FastDataX Task -> No File <==== ATTENTION
Task: {28D6E722-9454-41D4-A6D5-EBF047AAB2C5} - \Language Manifest Helper -> No File <==== ATTENTION
Task: {2FFC7CEA-6B80-4C2D-9282-2791094900E8} - \Command Line Mgr -> No File <==== ATTENTION
Task: {5425AB86-B231-4B40-AF97-D51738C76368} - \Line Line Mgr -> No File <==== ATTENTION
Task: {A153A3D8-05B1-427B-97B1-D539F95756BB} - \ComDev -> No File <==== ATTENTION
Task: {EAB57FD3-B6A7-4A92-AD95-618171FC8820} - \GmsDeluxe-update -> No File <==== ATTENTION
MSCONFIG\startupreg: qwwncpqyic => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D896056717A6364494CA0EA1F8333A02&utm_d=20170413"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Евгений Ливанов]

готово

вроде прошло

сейчас полную проверку запущу

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Евгений Ливанов]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 30.07.2018 04:06:25

Path starting: C:\Users\Олеся\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Олеся

VersionXML: 5.27is-25.07.2018

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)

Дата установки ОС: 09.01.2016 14:30:57

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [368.1 Гб] Занято: [177.1 Гб] Свободно: [191 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6612.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Total Security (выключен и устарел)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Total Security

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Total Security (выключен и устарел)

Windows Defender (включен и устарел)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Password Manager v.9.0.1.447

Kaspersky Total Security v.18.0.0.405 Внимание! Скачать обновления

Kaspersky Secure Connection v.18.0.0.405

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 11 v.11.0.80697 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype, версия 8.23 v.8.23 Внимание! Скачать обновления

Telegram Desktop, версия 1.3.9 v.1.3.9 Внимание! Скачать обновления

^Необязательное обновление.^

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 181 v.8.0.1810.13

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.1.0.1

Служба Bonjour (Bonjour Service) - Служба работает

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 30 ActiveX v.30.0.0.113 Внимание! Скачать обновления

Adobe Flash Player 30 NPAPI v.30.0.0.113 Внимание! Скачать обновления

Adobe Flash Player 30 PPAPI v.30.0.0.113 Внимание! Скачать обновления

Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.68.0.3440.75

Mozilla Firefox 61.0.1 (x86 ru) v.61.0.1

Opera Stable 42.0.2393.94 v.42.0.2393.94 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

Opera Stable 54.0.2952.60 v.54.0.2952.60 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

Yandex v.16.11.0.2680 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Google\Chrome\Application\chrome.exe v.68.0.3440.75

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба остановлена

C:\Program Files\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

C:\Program Files\McAfee Security Scan\3.11.747\SSScheduler.exe v.3.11.747.0

McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

McAfee Security Scan Plus v.3.11.747.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

System Table Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------