Полностью ли вылечен компьютер?

[Peter15 9]

Запустил вирус, потом запустил проверку KVRT с режимом сбора трассировок. Компьютер перезагружался, после этого была вроде полная проверка системного диска.

CollectionLog-2019.11.01-02.59.zip

[SQ 724]

Здравствуйте,

Уточните пожалуйста что за вирус вы запустили?

Что из следующего вам знакомо?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Administrator\AppData\Local\Temp\7ZipSfx.000\Net\DW\DW20.exe','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Peter15 9]

Что из следующего вам знакомо?

 

Ничего не знакомо. Не знаю, что это и откуда. Вирус: https://www.virustotal.com/gui/file/c8958e158245c1166e0c13805051afc22d03fbfe38eeb546037fe303b0739ca5/detection По ошибке не выбрал "запуск от администратора". Файл карантина получился равным 1 кб. Отправлять?

P .S. Запустил заново этот файл, дождусь окончания работы KVRT, выложу логи.

CollectionLog-2019.11.01-09.41.zip

Изменено 1 ноября, 2019 пользователем Peter15

[Peter15 9]

После KVRT (не помню точно, с трассировками или без).

CollectionLog-2019.11.01-12.00.zip

[Sandor 793]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\gs_svc.exe');
 StopService('AdobeFlashPlayerControlSvc');
 QuarantineFile('c:\programdata\gs_svc.exe', '');
 DeleteFile('c:\programdata\gs_svc.exe', '');
 DeleteFile('C:\ProgramData\GS_Svc.exe', '64');
 DeleteService('AdobeFlashPlayerControlSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

"Пофиксите" в HijackThis:

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Peter15 9]

[KLAN-11312501991]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
gs_svc.exe - not-a-virus:HEUR:AdWare.Win32.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2019.11.01-12.55.zip

[Sandor 793]

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Peter15 9]

Да.

AdwCleanerS00.txt

[Sandor 793]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Peter15 9]

Да.

Addition.txt

FRST.txt

[Sandor 793]

В перечне установленных программ видна

DOOMx64 1.00

Удалить можете?

[Peter15 9]

Пишет, что "...произошла ошибка... удаление, возможно, произведено ранее..., удалить из списка?".

[Sandor 793]

Удалите принудительно через Geek Uninstaller

[Peter15 9]

Пишет, что осталось несколько файлов и ветвей реестра. Удалять?

[Sandor 793]

Да, удаляйте.