trojan.win32.stantinko.gen

[Yurij Kuznetsov]

Kaspersky Endpoint Security 10 пытается вылечить с перезагрузкой, но троян появляется снова.

 

AutoLogger-test.exe был запущен под учетной записью "Администратор", т.к. под учеткой пользователя отключить антивирус и остановить брандмауэр не получается.

 

[thyrex]

Логи не прикрепили, забыв нажать кнопку Загрузить

[Yurij Kuznetsov]

Прошу прощения...

Лог от 27.02.19 собран под учеткой администратора,

лог от 28.02.19 - под учеткой пользователя.

Спасибо!

CollectionLog-2019.02.27-18.16.zip

CollectionLog-2019.02.28-04.23.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('4583928AAC993712');
 QuarantineFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '');
 QuarantineFile('c:\users\михаил\appdata\local\temp\6AD160A-25E58D86-ABBF47F6-414A1D20\8ad603ff2.sys', '');
 DeleteFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '32');
 DeleteFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '64');
 DeleteFile('c:\users\михаил\appdata\local\temp\6AD160A-25E58D86-ABBF47F6-414A1D20\8ad603ff2.sys', '64');
 DeleteService('4583928AAC993712');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gnaehbiiow', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gnaehbiiow', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1281724309-3735558647-3631652947-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SetAsDefault', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1281724309-3735558647-3631652947-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SetAsDefault', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

eBay Worldwide - если не используете (не знакомо), то деинсталируйте.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Yurij Kuznetsov]

Здравствуйте!

Выполнение скрипта не проходит.

Скриншот в приложении.

 

[regist]

Инструкцию надо внимательно читать. AVZ в папке Автологера.
В скрипте ошибок нет.

[Yurij Kuznetsov]

Да, Вы правы! Извините за невнимательность.

Скрипт сработал. quarantine.zip отправил. Жду ответа.

Спасибо!

[Sandor]

Пока ждёте, делайте остальное:

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

eBay Worldwide - если не используете (не знакомо), то деинсталируйте.  

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Yurij Kuznetsov]

Получил ответ:

Re: quarantine.zip [KLAN-9692205911]

newvirus@kaspersky.com

Кому: Yuri

 

сегодня, 9:33

Добавить категорию письма

 

 

 

 

 

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Отчет о работе утилиты ClearLNK.

Повторный запуск автологера.

Повторный запуск автологера

ClearLNK-2019.03.01_10.02.23.log

CollectionLog-2019.03.01-10.28.zip

CollectionLog-2019.03.01-10.28.zip

[regist]

 

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

не сделали.

[Yurij Kuznetsov]

Отправил.

MD5 карантина: 138CC22308F56565CC90922E93E0CED4

Имя файла: virusinfo_auto_MISHA.zip

[regist]

что сейчас с проблемой?

+

C:\Windows\system32\optsatadc.dll

проверьте на virustotal.com и оставьте здесь ссылку на отчёт.

[Yurij Kuznetsov]

С файлом optsatadc.dll все понятно.

Троян больше не появляется.

Огромное Спасибище за помощь!!!

Тему можно закрывать.

[regist]

 

 

С файлом optsatadc.dll все понятно.

что понятно, если вы его так и не проверили

 

 

Троян больше не появляется. Огромное Спасибище за помощь!!! Тему можно закрывать.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.