Mem:Trojan.Win32.Stantinko.gen

[Nikolas1987]

Система XP.  Давно не обновлялась. Вчера поставил KTS - обнаружил Stantinko не удаляется  и не лечится.

CollectionLog-2018.08.18-07.42.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\System32\wsaudio.dll','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 DeleteFile('C:\WINDOWS\System32\wsaudio.dll','32');
 DeleteFile('C:\Documents and Settings\Binp-user\Local Settings\Application Data\PriceMeter\TEMP\pricemeter.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\pricemetertask.job','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Nikolas1987]

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

К сожалению получилось так. Я сначала загрузил  карантин по ссылке, а потом запустил автологгер, зачем-то сделал перезагрузку.

 

По новой нужно скрипт делать? 

CollectionLog-2018.08.18-13.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Nikolas1987]

Сделал 

FRST_Addition.7z

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
HKU\S-1-5-21-1229272821-1409082233-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1229272821-1409082233-1801674531-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1229272821-1409082233-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818410","hxxp://www.sweet-page.com/?type=hp&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27"
FF NewTab: C:\Documents and Settings\Binp-user\Application Data\Mozilla\Firefox\Profiles\2bh4v03s.default -> hxxp://www.sweet-page.com/newtab/?type=nt&ts=1402416202&from=cor&uid=ST3160812AS_4LS27M27XXXX4LS27M27
C:\Documents and Settings\Binp-user\Application Data\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn
S2 ihctrl32; C:\WINDOWS\System32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\WINDOWS\System32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 avast; "C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /svc [X]
S3 avastm; "C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /medsvc [X]
Task: C:\WINDOWS\Tasks\AvastUpdateTaskMachineCore.job => C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe
Task: C:\WINDOWS\Tasks\AvastUpdateTaskMachineUA.job => C:\Program Files\AVAST Software\Browser\Update\AvastBrowserUpdate.exe
ContextMenuHandlers6: [NetWareMenuItems] -> {e3bbbfc0-f61f-11cf-bb16-00c04fd371f4} =>  -> No File
ContextMenuHandlers1: [NetWareMenuItems] -> {e3bbbfc0-f61f-11cf-bb16-00c04fd371f4} =>  -> No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Nikolas1987]

прикрепил

Fixlog.txt

[thyrex]

Проблема решена?

[Nikolas1987]

Проблема решена.

Далее пошел по этому пути:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именемSecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;

WebSite: www.safezone.cc

DateLog: 18.08.2018 16:48:30

Path starting: C:\TMP\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Bagryansky

VersionXML: 5.31is-14.08.2018

___________________________________________________________________________

 

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)

Дата установки ОС: 02.12.2013 03:47:26

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [58.6 Гб] Занято: [18.6 Гб] Свободно: [40 Гб]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 8.0.6001.18702

Автоматическое обновление отключено

Дата установки обновлений: 2018-08-15 23:42:11

Автоматическое обновление (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба остановлена

Удаленный реестр (RemoteRegistry) - Служба остановлена

Службы терминалов (TermService) - Служба работает

Служба обнаружения SSDP (SSDPSRV) - Служба работает

Восстановление системы отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3197835 Внимание! Скачать обновления

HotFix KB4012598 Внимание! Скачать обновления

HotFix KB4012583 Внимание! Скачать обновления

HotFix KB4022747 Внимание! Скачать обновления

HotFix KB4024323 Внимание! Скачать обновления

HotFix KB4025218 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x86 v.14.0.7015.1000

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Total Security v.19.0.0.1088

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.22beta

7-Zip 18.05 v.18.05.00.0

Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.41 v.7.41.101 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 76 v.7.0.760 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u181-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 30 ActiveX v.30.0.0.154

Adobe Flash Player 30 NPAPI v.30.0.0.154

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.49.0.2623.112 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Google\Chrome\Application\chrome.exe v.49.0.2623.112

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает

C:\Program Files\Kaspersky Lab\Kaspersky Total Security 19.0.0\avp.exe v.19.0.0.1088

C:\Program Files\Kaspersky Lab\Kaspersky Total Security 19.0.0\avpui.exe v.19.0.0.1088

---------------------------- [ UnwantedApps ] -----------------------------

Pdf Reader Packages Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендованное, и на этом закончим.