Помощь в удалении MEM:Trojan.Win32.Adject.gen

[Сергей Букин]

Проблема такая же как и у всех, касперский видит троян при лечении с перезагрузкой - компьютер перезагружается с ошибками и вирус не удаляется.

CollectionLog-2018.07.31-22.17.zip

Изменено 31 июля, 2018 пользователем Сергей Букин

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('powzip', 4);
 StopService('powzip');
 QuarantineFile('C:\Windows\System32\drivers\powzip.sys', '');
 DeleteFile('C:\Windows\System32\drivers\powzip.sys', '64');
 DeleteService('powzip');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

+ окончанию лечения не забудьте сменить все пароли.

[Сергей Букин]

сделал

 

https://virusinfo.info/virusdetector/report.php?md5=9AF86EEB2ED73D6C5D69F2E12B11BD09

 

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
powzip.sys

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

AdwCleanerS00.txt

CollectionLog-2018.07.31-22.50.zip

Изменено 31 июля, 2018 пользователем Сергей Букин

[regist]

Программы от Mail.Ru используете?

 

APP Shop v1.0.35 [20180609]-->"C:\Program Files (x86)\ASRock Utility\APP Shop\unins000.exe"
Игровой центр [2018/06/15 19:54:06]-->"C:\Users\Царь\AppData\Local\GameCenter\GameCenter.exe" -uninstall

советую деинсталировать.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteFile('schtasks.exe', '/delete /TN "QuickLaunch" /F', 0, 15000, true);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.
 

[Сергей Букин]

сделал все как сказали, пока вирус не находит....

буду надеяться что удалили...

спасибо

[regist]

 

 

сделал все как сказали

не всё

 

 

Программы от Mail.Ru используете?

не ответили на вопрос.

 

 

пока вирус не находит....

кроме того вируса у вас ещё много там заразы.

[Сергей Букин]

 

сделал все как сказали

не всё

 

 

Программы от Mail.Ru используете?

не ответили на вопрос.

 

 

пока вирус не находит....

кроме того вируса у вас ещё много там заразы.

 

по майл ру, удалил (качал архейдж поиграть)

по другим заразам буду рад услышать помощь

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Сергей Букин]

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

[c00] это вчерашний отчет

[c01] это который сейчас делал

AdwCleanerC01.txt

[regist]

Для контроля ещё раз свежий лог Автологером сделайте.

[Сергей Букин]

Для контроля ещё раз свежий лог Автологером сделайте.

CollectionLog-2018.08.01-15.04.zip

[regist]

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVWLX_M4YtSV2EmSCFgD9opd_AVvveq671HqMTiS2sAb6kDtji92TCkCwwE-9bF8RsfKnhHjz3t9o9fXR4Q_-euj-BV7g,,
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVafx7-nGi764frx4BRugJpGEjdSUaxQblWksNWh_Xctx9MB4FxVTvjJorAhjFgfMYnk6tmAooP9XIpV0-_iXRCRTYFkQ,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVafx7-nGi764frx4BRugJpGEjdSUaxQblWksNWh_Xctx9MB4FxVTvjJorAhjFgfMYnk6tmAooP9XIpV0-_iXRCRTYFkQ,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}: [SuggestionsURL_JSON] = https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627 - Яндекс
O22 - Task: (disabled) \Microsoft\QuickLaunch - C:\ProgramData\WindowsMenu\westat.exe /quicklaunch (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Starter - C:\ProgramData\WindowsMenu\westat.exe /updatecheck (file missing)
O22 - Task: RunAsStdUser_GameCenter - C:\Users\Царь\AppData\Local\GameCenter\GameCenter.exe -updated -lowermode /unique=1574921 (file missing)

сделайте свежие логи Автологером.

[Сергей Букин]

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVWLX_M4YtSV2EmSCFgD9opd_AVvveq671HqMTiS2sAb6kDtji92TCkCwwE-9bF8RsfKnhHjz3t9o9fXR4Q_-euj-BV7g,,
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVafx7-nGi764frx4BRugJpGEjdSUaxQblWksNWh_Xctx9MB4FxVTvjJorAhjFgfMYnk6tmAooP9XIpV0-_iXRCRTYFkQ,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u5-T8xc3a5V6pCwl6TJdYH9TN4JUtfCuTxUiJpCZNSFqRSAdzjRbQD_tzqeWnrehPVafx7-nGi764frx4BRugJpGEjdSUaxQblWksNWh_Xctx9MB4FxVTvjJorAhjFgfMYnk6tmAooP9XIpV0-_iXRCRTYFkQ,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}: [SuggestionsURL_JSON] = https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627 - Яндекс
O22 - Task: (disabled) \Microsoft\QuickLaunch - C:\ProgramData\WindowsMenu\westat.exe /quicklaunch (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Starter - C:\ProgramData\WindowsMenu\westat.exe /updatecheck (file missing)
O22 - Task: RunAsStdUser_GameCenter - C:\Users\Царь\AppData\Local\GameCenter\GameCenter.exe -updated -lowermode /unique=1574921 (file missing)

сделайте свежие логи Автологером.

разобрался

 

CollectionLog-2018.08.01-17.00.zip

Изменено 1 августа, 2018 пользователем Сергей Букин

[regist]

 

 

как им пользоваться

чем?

и оверквотингом не надо заниматься. Мало того что это затрудняет чтение, так ещё и нарушает правила форума.

[Сергей Букин]

готово

CollectionLog-2018.08.01-17.00.zip