Помогите одолеть Вирус Trojan.Win32.Stantinko.gen

[mixxas]

Помогите одолеть Вирус Trojan.Win32.Stantinko.gen

[thyrex]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[mixxas]

файл протоколов (логов)

CollectionLog-2018.08.30-20.51.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\KYE\iSlim 1322AF\BM.exe','');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[mixxas]

Результат загрузки Файл сохранён как 180830_191730_quarantine_5b8842cad85f4.zip Размер файла 826406 MD5 785624722875a05f671ba35da0387085 Файл закачан, спасибо!

новые логи

CollectionLog-2018.08.30-22.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[mixxas]

Desktop.rar

[thyrex]

Расширение

Ultimate Discounter

удалите в Хроме

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iapdadaeaebaoigieglfababneoaifnf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pleoihkpdomoijdpaibdciidfoeedamm] - hxxps://clients2.google.com/service/update2/crx
S2 ihctrl32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [470]
AlternateDataStreams: C:\ProgramData\TEMP:472FBBAF [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [470]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:472FBBAF [125]
Task: {B6B65AD4-4AC5-4E78-B31D-E9D4448A845D} - \find-journal -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[mixxas]

Fixlog.txt

[thyrex]

Проблема решена?

[mixxas]

С вирусом что в названии, уже не находит, прицепилось к папке, но вроде бы обезвредило. После перезагрузки еще раз запущу проверку и отпишу

SysWOW64 - нашло там другой ihctrl32.dll - TrojanDownloader.Win32.Stantinko.etjv

Повторная быстрая проверка важных областей KIS угроз не обнаружила

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[mixxas]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 31.08.2018 21:54:40
Path starting: C:\Users\ASUS\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ASUS
VersionXML: 5.33is-25.08.2018
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 15.04.2014 15:55:12
Статус лицензии: Windows® 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Internet Explorer\iexplore.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [110.3 Гб] Свободно: [355.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2003 v.11.0.8173.0
Microsoft Office 2007 v.12.0.6514.5001
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (включен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.15.0.1.415 Внимание! Скачать обновления
Kaspersky Anti-Virus v.15.0.1.415
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
OpenOffice 4.0.1 v.4.01.9714 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Viber v.9.5.0.8
Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 v.8.0.1810.13
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 13 ActiveX v.13.0.0.214 Внимание! Скачать обновления
Adobe Flash Player 13 Plugin v.13.0.0.214 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 50.1.0 (x64 ru) v.50.1.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.18.7.0.2695 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.68.0.3440.106
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.50.1.0.6186
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 15.0.1 (AVP15.0.1) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.1\avp.exe v.15.0.1.415
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.1\avpui.exe v.15.0.1.415
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Выполните рекомендованное, и на этом закончим.