Agent_Orange 0 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 По просьбе модераторов пересоздаю тему здесь. Ссылка на старую, на всякий случай: https://forum.kaspersky.com/index.php?/topic/398202-%D0%BD%D0%B5-%D1%83%D0%B4%D0%B0%D0%BB%D1%8F%D0%B5%D1%82%D1%81%D1%8F-%D1%82%D1%80%D0%BE%D1%8F%D0%BD/&_fromLogout=1&_fromLogin=1 Суть проблемы:: Хотел скачать программу для проверки монитора на битые пиксели и заразил ноут.Виндоус 10, пользовался стандартным Защитником Виндоус, так как Каспер все-таки притормаживает систему, а ноут старенький. Перед закачкой на всякий случай проверил сайт, потом скачанный архив, потом файл внутри на https://virusdesk.kaspersky.ru/, все вышеперечисленное притупило бдительность, и то, что в папке был образ iso, в котором лежал ехе-шник меня почему-то не насторожило, теперь понимаю, что очень зря - там был какой-то рассадник всякой фигни, которая благополучно пролезла через стандартную защиту виндоуса. Пришлось срочно устанавливать КИС, благо лицензия есть. Что-то может-быть неЗащитник удалил, остальное удалил КИС. Еще был "AASory Setup", прописавшийся в автозагрузке, который КИС не видел, его пришлось вручную удалять из служб, планировщика, а потом и сам файл через безопасный режим, так как по-хорошему он не хотел. Но одну гадость никак КИС не может одолеть:Обнаружено: MEM:Trojan.Win32.Adject.genОбъект: System Memory.После нажатия кнопки "Устранить" - долго лечит, предлагает удалить с перезагрузкой, но после перезагрузки снова находит.Попробовал Kaspersky Rescue Disk - не находит ничего.Попробовал Kaspersky Virus Removal Tool - тоже находит, как и КИС, тоже пытается удалить/вылечить, но после перезагрузки снова находит.?Что можно сделать? Как удалить последнюю бяку? Лог из Autologger в приложении Лог из GetSystemInfo по ссылке: https://drive.google.com/file/d/1gTAuSEozjz5cSNc-gsx1ayyof8HeCT9M/view?usp=sharing CollectionLog-2018.07.30-10.09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 Я ответил там, но значит продолжим здесь. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('powzip', 4); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Parameters'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances\powzip instance'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip'); QuarantineFile('C:\Program Files (x86)\hOIxokWFAIE\teaUNeacW.dll',''); QuarantineFile('C:\Program Files (x86)\hOIxokWFAIE\kLLqHsi.dll',''); QuarantineFile('C:\Users\kosss\AppData\Roaming\dhorzijocnx\epqrghbhoec.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\powzip.sys','64'); DeleteFile('C:\Users\kosss\AppData\Roaming\dhorzijocnx\epqrghbhoec.exe','32'); DeleteFile('C:\Program Files (x86)\hOIxokWFAIE\kLLqHsi.dll','32'); DeleteFile('C:\Program Files (x86)\hOIxokWFAIE\teaUNeacW.dll','64'); DelBHO('{9F55829B-D24C-4F62-A4A5-729E53BCEA85}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3178089'); DeleteFileMask('C:\Program Files (x86)\hOIxokWFAIE', '*', true); DeleteDirectory('C:\Program Files (x86)\hOIxokWFAIE'); DeleteFileMask('C:\Users\kosss\AppData\Roaming\dhorzijocnx', '*', true); DeleteDirectory('C:\Users\kosss\AppData\Roaming\dhorzijocnx'); SaveLog('c:\powzip.log'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. c:\powzip.log прикрепите к следующему сообщению в этой теме. Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 Файл quarantine.zip загрузил, результат загрузки: Файл сохранён как 180730_075608_quarantine_5b5ec498aa477.zip Размер файла 105270 MD5 e2601656b71875471c7c7adb5169bea0 В приложении powzip.log, а также новый лог-файл из autologger Заглянул в powzip.log - он там пытался в quarantine.zip засунуть в т. ч. те файлы, которые я вчера вручную поудалял (файлы с рандомными именами в папках с рандомными именами). Надеюсь я правильно сделал powzip.log CollectionLog-2018.07.30-11.06.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 Логи FRST в приложении frst logs.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 YoutubeAdBlock удалите через Установку программ. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation) HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation) FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-07-29] <==== ATTENTION CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd S1 bqxeqwkl; \??\C:\WINDOWS\system32\drivers\bqxeqwkl.sys [X] S1 dcvmzucv; \??\C:\WINDOWS\system32\drivers\dcvmzucv.sys [X] 2018-07-29 13:57 - 2018-07-29 14:23 - 000000000 ____D C:\Users\kosss\AppData\Local\XService 2018-07-28 01:44 - 2018-07-28 01:44 - 001945088 _____ C:\WINDOWS\ZTMzOTAxZjYyNmQwMzE.exe AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0] Task: {25121CAF-27D3-47B3-9EA3-114CD72BD7FC} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 Сделано Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 При попытке удалить Youtubeadblock через удаление программ: Это видимо потому, что уже удалено. А из списка программ удалить как-то можно (перфекционизма ради))) ? А по поводу все ли удалилось - сейчас КИС полную проверку запущу и отпишусь позже Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 Попробуйте поискать в реестре упоминание 1655C0CA-7AE7-4012-8502-970C8675E5F8 (ветка HKEY_LOCAL_MACHINE) Должна быть связана с Youtubeadblock Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 В реестре нашел, удалил, помогло Проверку сделал - нашлось (и удалилось) только вот это: 30.07.2018 18.54.14;Обнаруженный объект (файл) удален;C:\Windows\SysWOW64\drivers\vdy2njm3.sys;C:\Windows\SysWOW64\drivers\vdy2njm3.sys;not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen Походу это был драйвер утилиты AVZ, которая до этого логи писала. Больше ничего не находит. Надеюсь, на это не влияет то, что я в окне про обнаружение "MEM:Trojan.Win32.Adject.gen" нажал "игнорировать" уже после того, как FRST fix применил и fixlog.txt создал, а то это окно там висело в углу без возможности его закрыть. При последующих проверках проигнорированные ранее угрозы снова всплывают ведь, если что? А так получается, что да, проблема решена - спасибо Вам огромное за помощь, в последующем не буду выключать режим вирусного параноика)) Еще пара вопросов. Что этот троян делал вообще? Пароли менять теперь все нужно? И ссылка на сайт с псевдо-тестом мониторов а заодно и с заразным файлом дошла до "бойцов невидимого фронта" ? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 И ссылка на сайт с псевдо-тестом мониторов а заодно и с заразным файлом дошла до "бойцов невидимого фронта" ?Мы к вирлабу отношения не имеем. Просто добровольные помощники. Что этот троян делал вообще? Пароли менять теперь все нужно?У Вас детект антивируса был один, в соседней теме https://forum.kasperskyclub.ru/index.php?showtopic=60051совершенно другой, и как раз связан со шпионажем. Потому лучше все же сменить. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 30.07.2018 20:50:07 Path starting: C:\Users\kosss\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: User VersionXML: 5.27is-25.07.2018 ___________________________________________________________________________ Windows 10(6.3.17134) (x64) Professional Версия: 1803 Lang: Russian(0419) Дата установки ОС: 15.05.2018 06:32:08 Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe Системный диск: C: ФС: [NTFS] Емкость: [488 Гб] Занято: [201.1 Гб] Свободно: [286.9 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.165.17134.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2007 v.12.0.6425.1000 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) Kaspersky Internet Security (включен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Kaspersky Internet Security (включен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Internet Security (включен и обновлен) Windows Defender (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Internet Security v.19.0.0.1088 Kaspersky Secure Connection v.19.0.0.1088 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления TeamViewer 13 v.13.2.5287 TeamViewer 13 (TeamViewer) - Служба работает --------------------------------- [ IM ] ---------------------------------- Viber v.9.2.0.6 Внимание! Скачать обновления ^Необязательное обновление.^ Skype, версия 8.25 v.8.25 --------------------------------- [ P2P ] --------------------------------- BitTorrent v.7.10.3.44495 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 30 NPAPI v.30.0.0.134 Adobe Acrobat Reader DC - Russian v.18.011.20055 ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 61.0.1 (x64 ru) v.61.0.1 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Mozilla Firefox\firefox.exe v.61.0.1.6759 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.exe v.19.0.0.1088 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avpui.exe v.19.0.0.1088 C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1 Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- Online Application v.2.7.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! ----------------------------- [ End of Log ] ------------------------------ Че-то там в конце подозрительное Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 486 Опубликовано 30 июля, 2018 Share Опубликовано 30 июля, 2018 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool4. Укажите Тип файла – Все файлы (*.*)5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Online Application теперь можно увидеть в Установке программ и удалить.Выполните и остальные рекомендации, и на этом закончим Цитата Ссылка на сообщение Поделиться на другие сайты
Agent_Orange 0 Опубликовано 30 июля, 2018 Автор Share Опубликовано 30 июля, 2018 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.