Трояны

[alexanderexpert]

Доброго времени суток. Проверил компьютер утилитой при помощи KVRT Removal Tool. Нейтрализовал 12 объектов.

Собранные логи прикрепляю.

 

CollectionLog-2019.01.25-10.55.zip

[akoK]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

• Запустите AVZ.
• Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
• В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
• Закачайте полученный архив, как описано на этой странице.
• Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk"           -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\Users\Хозяин\Desktop\Помощник по обновлению до Windows 10.lnk"          -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Uninstall Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\admin.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Справки БК\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\UmmyVideoDownloader.lnk"       -> ["C:\Users\Public\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe"]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','');
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\WINDOWS\System32\AutoWorkplace.exe','');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','64');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','64');
 DeleteSchedulerTask('wutphost');
 DeleteSchedulerTask('wupdate');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[alexanderexpert]

Архив закачан

 

Ответ по почте - [KLAN-9508883685]

 

Скан

ClearLNK-2019.01.25_13.11.32.log

Addition.txt

FRST.txt

[akoK]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Program Files\WinDjView-0.3.3.exe;C:\Program Files (x86)\CR2.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
  2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
  Task: {065F055A-26C3-4E50-A048-EFB15D316D09} - System32\Tasks\{AD54DE06-20D1-41CD-9C33-461690AFE116} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
  FirewallRules: [{3DB04619-A7A1-43B0-9001-D4CC61F80B0F}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
  FirewallRules: [{E64A8F8F-08DB-443D-9C40-6C7D15C7ADC6}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
  C:\Windows\Microsoft\svchost.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[alexanderexpert]

Пофиксил

Fixlog.txt

[Sandor]

Ответ по почте - [KLAN-9508883685]

Сам ответ тоже процитируйте, пожалуйста.

[alexanderexpert]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://cloud.mail.ru/stock/pS1m5vWMcuJaw2JJ2GVkJ5Gn

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"