MEM:Trojan.Win32.Adject.gen

[Agent_Orange 0]

По просьбе модераторов пересоздаю тему здесь.

 

Ссылка на старую, на всякий случай: https://forum.kaspersky.com/index.php?/topic/398202-%D0%BD%D0%B5-%D1%83%D0%B4%D0%B0%D0%BB%D1%8F%D0%B5%D1%82%D1%81%D1%8F-%D1%82%D1%80%D0%BE%D1%8F%D0%BD/&_fromLogout=1&_fromLogin=1

 

Суть проблемы::

Хотел скачать программу для проверки монитора на битые пиксели и заразил ноут.

Виндоус 10, пользовался стандартным Защитником Виндоус, так как Каспер все-таки притормаживает систему, а ноут старенький. Перед закачкой на всякий случай проверил сайт, потом скачанный архив, потом файл внутри на https://virusdesk.kaspersky.ru/, все вышеперечисленное притупило бдительность, и то, что в папке был образ iso, в котором лежал ехе-шник меня почему-то не насторожило, теперь понимаю, что очень зря - там был какой-то рассадник всякой фигни, которая благополучно пролезла через стандартную защиту виндоуса. Пришлось срочно устанавливать КИС, благо лицензия есть. Что-то может-быть неЗащитник удалил, остальное удалил КИС. Еще был "AASory Setup", прописавшийся в автозагрузке, который КИС не видел, его пришлось вручную удалять из служб, планировщика, а потом и сам файл через безопасный режим, так как по-хорошему он не хотел.

Но одну гадость никак КИС не может одолеть:
Обнаружено: MEM:Trojan.Win32.Adject.gen
Объект: System Memory.

После нажатия кнопки "Устранить" - долго лечит, предлагает удалить с перезагрузкой, но после перезагрузки снова находит.

Попробовал Kaspersky Rescue Disk - не находит ничего.

Попробовал Kaspersky Virus Removal Tool - тоже находит, как и КИС, тоже пытается удалить/вылечить, но после перезагрузки снова находит.?

Что можно сделать? Как удалить последнюю бяку?

 

 

Лог из Autologger в приложении

Лог из GetSystemInfo по ссылке: https://drive.google.com/file/d/1gTAuSEozjz5cSNc-gsx1ayyof8HeCT9M/view?usp=sharing

CollectionLog-2018.07.30-10.09.zip

[thyrex 1 468]

Я ответил там, но значит продолжим здесь.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('powzip', 4);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances\powzip instance');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip\Instances');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\powzip');
QuarantineFile('C:\Program Files (x86)\hOIxokWFAIE\teaUNeacW.dll','');
 QuarantineFile('C:\Program Files (x86)\hOIxokWFAIE\kLLqHsi.dll','');
 QuarantineFile('C:\Users\kosss\AppData\Roaming\dhorzijocnx\epqrghbhoec.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\powzip.sys','64');
 DeleteFile('C:\Users\kosss\AppData\Roaming\dhorzijocnx\epqrghbhoec.exe','32');
 DeleteFile('C:\Program Files (x86)\hOIxokWFAIE\kLLqHsi.dll','32');
 DeleteFile('C:\Program Files (x86)\hOIxokWFAIE\teaUNeacW.dll','64');
DelBHO('{9F55829B-D24C-4F62-A4A5-729E53BCEA85}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3178089');
DeleteFileMask('C:\Program Files (x86)\hOIxokWFAIE', '*', true);
DeleteDirectory('C:\Program Files (x86)\hOIxokWFAIE');
DeleteFileMask('C:\Users\kosss\AppData\Roaming\dhorzijocnx', '*', true);
DeleteDirectory('C:\Users\kosss\AppData\Roaming\dhorzijocnx');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Agent_Orange 0]

Файл quarantine.zip загрузил, результат загрузки:

 

Файл сохранён как 180730_075608_quarantine_5b5ec498aa477.zip Размер файла 105270 MD5 e2601656b71875471c7c7adb5169bea0

 

В приложении powzip.log, а также новый лог-файл из autologger

 

Заглянул в powzip.log - он там пытался в quarantine.zip засунуть в т. ч. те файлы, которые я вчера вручную поудалял (файлы с рандомными именами в папках с рандомными именами). Надеюсь я правильно сделал

powzip.log

CollectionLog-2018.07.30-11.06.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Agent_Orange 0]

Логи FRST в приложении

frst logs.rar

[thyrex 1 468]

YoutubeAdBlock удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\secure_cert.js [2018-07-29] <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
S1 bqxeqwkl; \??\C:\WINDOWS\system32\drivers\bqxeqwkl.sys [X]
S1 dcvmzucv; \??\C:\WINDOWS\system32\drivers\dcvmzucv.sys [X]
2018-07-29 13:57 - 2018-07-29 14:23 - 000000000 ____D C:\Users\kosss\AppData\Local\XService
2018-07-28 01:44 - 2018-07-28 01:44 - 001945088 _____ C:\WINDOWS\ZTMzOTAxZjYyNmQwMzE.exe
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
Task: {25121CAF-27D3-47B3-9EA3-114CD72BD7FC} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Agent_Orange 0]

Сделано

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[Agent_Orange 0]

При попытке удалить Youtubeadblock через удаление программ:

 

 

Это видимо потому, что уже удалено. А из списка программ удалить как-то можно (перфекционизма ради))) ?

 

А по поводу все ли удалилось - сейчас КИС полную проверку запущу и отпишусь позже

[thyrex 1 468]

Попробуйте поискать в реестре упоминание 1655C0CA-7AE7-4012-8502-970C8675E5F8 (ветка HKEY_LOCAL_MACHINE)

Должна быть связана с Youtubeadblock

[Agent_Orange 0]

В реестре нашел, удалил, помогло

Проверку сделал - нашлось (и удалилось) только вот это:

 

30.07.2018 18.54.14;Обнаруженный объект (файл) удален;C:\Windows\SysWOW64\drivers\vdy2njm3.sys;C:\Windows\SysWOW64\drivers\vdy2njm3.sys;not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

 

Походу это был драйвер утилиты AVZ, которая до этого логи писала.

Больше ничего не находит.

Надеюсь, на это не влияет то, что я в окне про обнаружение "MEM:Trojan.Win32.Adject.gen" нажал "игнорировать" уже после того, как FRST fix применил и fixlog.txt создал, а то это окно там висело в углу без возможности его закрыть. При последующих проверках проигнорированные ранее угрозы снова всплывают ведь, если что?

 

А так получается, что да, проблема решена - спасибо Вам огромное за помощь, в последующем не буду выключать режим вирусного параноика))

 

Еще пара вопросов. Что этот троян делал вообще? Пароли менять теперь все нужно? И ссылка на сайт с псевдо-тестом мониторов а заодно и с заразным файлом дошла до "бойцов невидимого фронта" ?

[thyrex 1 468]

И ссылка на сайт с псевдо-тестом мониторов а заодно и с заразным файлом дошла до "бойцов невидимого фронта" ?

Мы к вирлабу отношения не имеем. Просто добровольные помощники.

 

Что этот троян делал вообще? Пароли менять теперь все нужно?

У Вас детект антивируса был один, в соседней теме https://forum.kasperskyclub.ru/index.php?showtopic=60051совершенно другой, и как раз связан со шпионажем.

Потому лучше все же сменить.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Agent_Orange 0]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 30.07.2018 20:50:07

Path starting: C:\Users\kosss\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: User

VersionXML: 5.27is-25.07.2018

___________________________________________________________________________

 

Windows 10(6.3.17134) (x64) Professional Версия: 1803 Lang: Russian(0419)

Дата установки ОС: 15.05.2018 06:32:08

Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [488 Гб] Занято: [201.1 Гб] Свободно: [286.9 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.165.17134.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6425.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (выключен и обновлен)

Kaspersky Internet Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.19.0.0.1088

Kaspersky Secure Connection v.19.0.0.1088

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

TeamViewer 13 v.13.2.5287

TeamViewer 13 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Viber v.9.2.0.6 Внимание! Скачать обновления

^Необязательное обновление.^

Skype, версия 8.25 v.8.25

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.10.3.44495 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 30 NPAPI v.30.0.0.134

Adobe Acrobat Reader DC - Russian v.18.011.20055

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 61.0.1 (x64 ru) v.61.0.1

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Mozilla Firefox\firefox.exe v.61.0.1.6759

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avpui.exe v.19.0.0.1088

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Online Application v.2.7.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------

Че-то там в конце подозрительное

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Online Application теперь можно увидеть в Установке программ и удалить.

Выполните и остальные рекомендации, и на этом закончим

[Agent_Orange 0]

Готово

Fixlog.txt