Помощь в удалении MEM:Trojan.Win32.Adject.gen

[Кирилл Панин]

При отключенном кабеле вроде как лечится, но после подключения касперский снова ругается

CollectionLog-2018.07.31-13.57.zip

Изменено 31 июля, 2018 пользователем Кирилл Панин

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('powzip', 4);
 QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
 DeleteFile('C:\WINDOWS\winstart.bat','32');
 DeleteFile('C:\WINDOWS\System32\drivers\powzip.sys','64');
DeleteService('powzip');
SaveLog('c:\powzip.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

c:\powzip.log прикрепите к следующему сообщению в этой теме.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Кирилл Панин]

Результат загрузки Файл сохранён как 180731_122308_quarantine_5b6054ac33405.zip Размер файла 105551 MD5 557d5ea60c8e7cd277e912cb8805e173

 

powzip.log

CollectionLog-2018.07.31-15.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Кирилл Панин]

Готово

Desktop.rar

[thyrex]

Ace Stream Media 3.1.16.1 удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [hshhsaaaws] => ******************************************************************************************************************************************************************************************************** (the data entry has 59 more characters).
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{00BBF1BF-AE38-4AFD-81D4-C675D0F1EBEC}] => C:\Users\GREEN\AppData\Local\Temp\{61A87C40-7B91-4EC5-8ACF-9F541C647F5C}\{00BBF1BF-AE38-4AFD-81D4-C675D0F1EBEC}.cmd <==== ATTENTION
HKLM-x32\...\RunOnce: [{4EBEC43F-EF9A-4F05-8FC5-BD1D6201A854}] => C:\Users\GREEN\AppData\Local\Temp\{7A7FB72B-E2F2-4457-BE0E-34043E930195}\{4EBEC43F-EF9A-4F05-8FC5-BD1D6201A854}.cmd [291 2018-07-26] () <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
Task: {94E53463-D162-4057-B612-00F563F6B685} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
HKLM\...\StartupApproved\Run32: => "xcyjemdn0jh"
HKLM\...\StartupApproved\Run32: => "hshhsaaaws"
FirewallRules: [{33B0BF0F-AB8F-40A5-A232-76F5202EBCCC}] => (Allow) C:\Users\GREEN\AppData\Roaming\ACEStream\engine\ace_engine.exe
FirewallRules: [{6D180A4C-47DA-4CC6-A3A3-64BFFF417D86}] => (Allow) C:\Users\GREEN\AppData\Roaming\ACEStream\engine\ace_engine.exe
FF HKU\S-1-5-21-4227683489-293376728-3826720472-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\GREEN\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Stream Web Extension) - C:\Users\GREEN\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2017-01-31] [Legacy]
CHR HKU\S-1-5-21-4227683489-293376728-3826720472-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2018-07-13 11:44 - 2018-07-13 14:11 - 000000000 ____D C:\Users\Все пользователи\1588d81c-7237-0
2018-07-13 11:44 - 2018-07-13 14:11 - 000000000 ____D C:\Users\Все пользователи\1588d81c-23e3-1
2018-07-13 11:44 - 2018-07-13 14:11 - 000000000 ____D C:\ProgramData\1588d81c-7237-0
2018-07-13 11:44 - 2018-07-13 14:11 - 000000000 ____D C:\ProgramData\1588d81c-23e3-1
2018-07-13 11:44 - 2018-07-13 11:44 - 007631872 _____ C:\Users\GREEN\AppData\Local\agent.dat
2018-07-13 11:44 - 2018-07-13 11:44 - 001990059 _____ C:\Users\GREEN\AppData\Local\Unatop.tst
2018-07-13 11:44 - 2018-07-13 11:44 - 000929792 _____ C:\Users\GREEN\AppData\Local\sham.db
2018-07-13 11:44 - 2018-07-13 11:44 - 000140800 _____ C:\Users\GREEN\AppData\Local\installer.dat
2018-07-13 11:44 - 2018-07-13 11:44 - 000126464 _____ C:\Users\GREEN\AppData\Local\noah.dat
2018-07-13 11:44 - 2018-07-13 11:44 - 000070896 _____ C:\Users\GREEN\AppData\Local\Config.xml
2018-07-13 11:44 - 2018-07-13 11:44 - 000016416 _____ C:\Users\GREEN\AppData\Local\InstallationConfiguration.xml
2018-07-13 11:44 - 2018-07-13 11:44 - 000005568 _____ C:\Users\GREEN\AppData\Local\md.xml
2018-07-13 11:43 - 2018-07-17 23:18 - 000000000 ____D C:\Users\Все пользователи\yahoochrome_D
2018-07-13 11:43 - 2018-07-17 23:18 - 000000000 ____D C:\ProgramData\yahoochrome_D
2018-07-13 11:43 - 2018-07-13 14:17 - 000000000 ____D C:\Users\GREEN\AppData\Local\XService
2018-07-13 11:43 - 2018-07-13 14:12 - 000000000 ____D C:\Users\GREEN\AppData\Roaming\xdnkx
2018-07-13 11:43 - 2018-07-13 11:43 - 000000000 ____D C:\Users\GREEN\AppData\Roaming\Microleaves
2018-07-13 11:42 - 2018-07-13 11:42 - 000000000 ____D C:\Users\Public\Documents\XMUpdate
2018-07-31 15:21 - 2018-01-18 11:53 - 000000000 ____D C:\Users\GREEN\AppData\Roaming\.ACEStream
C:\Users\GREEN\AppData\Roaming\ACEStream
2018-07-29 23:49 - 2018-07-29 23:49 - 001179016 _____ () C:\Users\GREEN\AppData\Local\Temp\AMDCleanupUtility.exe
2018-07-29 23:49 - 2018-07-29 23:49 - 000250248 _____ () C:\Users\GREEN\AppData\Local\Temp\Cleanup.dll
2018-07-29 23:49 - 2018-07-29 23:49 - 000065536 _____ (Windows (R) Server 2003 DDK provider) C:\Users\GREEN\AppData\Local\Temp\ddu.exe
2018-07-29 23:49 - 2018-07-29 23:49 - 000414152 _____ (Microsoft Corporation) C:\Users\GREEN\AppData\Local\Temp\difxapi.dll
2018-07-29 23:49 - 2018-07-29 23:49 - 000516096 _____ (Microsoft Corporation) C:\Users\GREEN\AppData\Local\Temp\msvcm80.dll
2018-07-29 23:49 - 2018-07-29 23:49 - 001061376 _____ (Microsoft Corporation) C:\Users\GREEN\AppData\Local\Temp\msvcp80.dll
2018-07-29 23:49 - 2018-07-29 23:49 - 000796672 _____ (Microsoft Corporation) C:\Users\GREEN\AppData\Local\Temp\msvcr80.dll
C:\Users\GREEN\AppData\Local\Temp\{7A7FB72B-E2F2-4457-BE0E-34043E930195}\{4EBEC43F-EF9A-4F05-8FC5-BD1D6201A854}.cmd
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Кирилл Панин]

Готово

Fixlog.txt

[thyrex]

Проблема решена?

[Кирилл Панин]

Видимо да, быстрая проверка угроз не обнаружила 
Спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Кирилл Панин]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 31.07.2018 16:27:03

Path starting: C:\Users\GREEN\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: GREEN

VersionXML: 5.27is-25.07.2018

___________________________________________________________________________

 

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)

Дата установки ОС: 26.12.2017 13:54:27

Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 252173 мин.

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 252173 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [118.7 Гб] Занято: [84.5 Гб] Свободно: [34.2 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.547.16299.0

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x64 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.18.0.0.405 Внимание! Скачать обновления

Kaspersky Secure Connection v.18.0.0.405

-------------------------- [ SecurityUtilities ] --------------------------

GridinSoft Anti-Malware v.4.0.3

Unchecky v1.2 v.1.2

Adguard v.6.2.437.2171

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 v.5.40 Внимание! Скачать обновления

Classic Shell v.4.3.0 Данная программа больше не поддерживается разработчиком.

VLC media player v.2.2.6 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

WhatsApp v.0.2.9737

Telegram Desktop version 1.2.17 v.1.2.17 Внимание! Скачать обновления

^Необязательное обновление.^

Viber v.6.7.1.3 Внимание! Скачать обновления

^Необязательное обновление.^

Skype™ 7.34 v.7.34.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent 3.4.9 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u181-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Acrobat Reader DC - Russian v.17.012.20098 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.67.0.3396.99 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.67.0.3396.99

------------------ [ AntivirusFirewallProcessServices ] -------------------

Adguard Service (Adguard Service) - Служба работает

C:\Program Files (x86)\Adguard\AdguardSvc.exe v.6.2.437.2171

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

Unchecky (Unchecky) - Служба работает

C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe v.1.2.0.0

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Online Application v.2.7.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------

 

 

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Online Application теперь можно увидеть в Установке программ и удалить.

 

Выполните и остальные рекомендации из лога Security Check, и на этом закончим.

[Кирилл Панин]

Спасибо