mem:trojan.win32.sepem.gen - не удается избавиться от вируса

[regist]

Здравствуйте!

 

 

 

WhiteClick LLC, опять таки, непонятно как удалять.

а если windows + r вставить

MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

нажать Enter, то что происходит?

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('ODQ1ODYxNGI1M', 4);
 SetServiceStart('OTJmZDU4MTNlNz', 4);
 StopService('ODQ1ODYxNGI1M');
 StopService('OTJmZDU4MTNlNz');
 QuarantineFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '');
 QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '');
 DeleteFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '64');
 DeleteFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '64');
 DeleteService('ODQ1ODYxNGI1M');
 DeleteService('OTJmZDU4MTNlNz');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ Включите обнаружение нежелательных программ, обновите базы.

[egora60j]

WhiteClick LLC с помощью win + r не находится, а если ввести MsiExec.exe открывается установщик Windows, в котором ничего нельзя сделать, кроме как закрыть его.

Ответ от newvirus такой же:

[KLAN-9414663884]

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
https://www55.zippyshare.com/v/3QMZMsqy/file.html

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

Высылаю отчет и логи.

ClearLNK-2019.01.06_22.24.16.log

CollectionLog-2019.01.06-22.38.zip

[regist]

 

 

WhiteClick LLC с помощью win + r не находится

оно и не должно там находиться.

 

 

а если ввести MsiExec.exe

надо вводить не только MsiExec.exe а скопировать и вставить целиком ту строку, которыю вам написал. Повторюсь скопируйте и вставьте туда

MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}

после этого нажмите Enter.

 

 

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

и в карантин надо посылать не ссылки, а файлы. Ваше письмо проверяет робот и по ссылке с какого-то обменника он ничего не скачает.

На файл в карантине добавили детект not-a-virus:AdWare.Win32.Agent.xxdyny
жду пока выполните указанные действия через windows + R и отпишитесь о результате.

[egora60j]

Gmail не дает послать файл с вирусом, карантин ответил, что можно послать ссылку на обменник.
Хорошо, попробую с другой почты, пришлют ответ - отпишусь.
MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
OTJmZDU4MTNlNz - not-a-virus:AdWare.Win32.Agent.xxdyny

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[regist]

MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.

тогда попробуем по другому.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[egora60j]

Сделано

LAPTOP-2RQNAAJI_2019-01-07_03-33-39_v4.1.2.7z

[regist]

1) Деинсталируйте SearchAwesome

2) Удалите остатки MCAFEE https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   uidel  MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F}
   exec32 C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
   uidel  C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe
   ;---------command-block---------
   zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
   delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL
   delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\COMAPIPROXY.DLL
   delref %SystemRoot%\TEMP\CB763E68-A715-4F39-8DBB-19C95C2EBB8A
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
   apply
   
   regt 27
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4) Что с проблемой?

[egora60j]

С удалением SearchAwesome были проблемы, но после выполнения скрипта он исчез.

Архив отправил, имя карантина: 2019.01.08_ZOO_2019-01-08_21-02-15_2ff74893b5595635368e5f765b799014.7z

По поводу проблемы: WhiteClick LLC на компьютере больше нет, видимых воздействий вирусов на компьютер, вроде как, не наблюдается.

 

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[egora60j]

Часто используемые уязвимости не найдены.

При этом я обнаружил новую проблему: часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается. Это может быть связано с вирусами? Утилиты пока не удалял, жду ответа на этот вопрос. Спасибо.

[regist]

 

 

часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается.

проверьте мышку, клавиатуру. Может у вас кнопка где залипает.