троян MEM:Trojan.Win32.Adject.gen

Printable View

27.04.2018, 19:31
lovepsone

Вложений: 1

троян MEM:Trojan.Win32.Adject.gen

Касперский обнаружил MEM:Trojan.Win32.Adject.gen в system memory. Но вылечить не смог.
Логи прикрепил.
27.04.2018, 19:32
Info_bot

Уважаемый(ая) [B]lovepsone[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.04.2018, 19:42
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Leqercult\yaupdcache.exe','');
QuarantineFile('C:\Program Files (x86)\Arazoynarether\yaupdcache.exe','');
QuarantineFile('C:\ProgramData\Voyasollam\Saocof.dll','');
DeleteFile('C:\ProgramData\Voyasollam\Saocof.dll','32');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Plowiry Community','64');
DeleteFile('C:\Windows\system32\Tasks\Stifaing Update','64');
DeleteFile('C:\Program Files (x86)\Arazoynarether\yaupdcache.exe','32');
DeleteFile('C:\Program Files (x86)\Leqercult\yaupdcache.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
27.04.2018, 20:10
lovepsone

Вложений: 1

Результат загрузки
Файл сохранён как 180427_170619_quarantine_5ae3588bc12b1.zip
Размер файла 232209
MD5 f9395b33f1deced01f62dd49f64a6dc7

логи прикрепил
27.04.2018, 23:00
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
28.04.2018, 18:23
lovepsone

Вложений: 1

готово, смотрю вы белорус, поделитесь опытом. )

(откуда вылез этот amigo у меня, смотря по логам)
29.04.2018, 11:57
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\RunOnce: [ucdrv_repair] => "C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe" --repair
HKLM\...\Providers\bqm2o8nk: C:\Program Files (x86)\Plowiry Community\local64spl.dll <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Voyasollam\Hayphase.dll => No File
ShellExecuteHooks: No Name - {CD839464-41E8-11E7-8092-64006A5CFC23} - -> No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{35D613E9-7E44-49B8-81A1-B9445FD48A24}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
Tcpip\..\Interfaces\{BCEEF87B-249B-4738-890C-0FAC03403DB3}: [NameServer] 82.209.253.2,193.232.248.2,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkVl2tBHxdg63Yy4dJLNHQrOHHsMYxcG_Bv1yVpzqZt7Y1GnA29hR7QhX4ZIjm0A5MlpnHc7_wzEE1QDSoxFc0KltYACdtzA5jwmtcDp350wJ6-YLXb7E5fvwq0-NO7_8gTKmtBhU2awHHOafcROxcZUMLhqNkm9Jxvd9xDgGg,,&q={searchTerms}
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
S2 BIT; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BIT; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 glory; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 glory; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 WinSAPSvc; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
2017-06-01 21:09 - 2017-06-01 21:09 - 007306240 _____ () C:\Users\user\AppData\Local\agent.dat
2017-06-01 21:09 - 2017-06-01 21:09 - 000070800 _____ () C:\Users\user\AppData\Local\Config.xml
2017-06-01 21:09 - 2017-06-01 21:09 - 001897408 _____ () C:\Users\user\AppData\Local\Goodzooair.tst
2017-06-01 21:09 - 2017-06-01 21:09 - 000016176 _____ () C:\Users\user\AppData\Local\InstallationConfiguration.xml
2017-06-01 21:09 - 2017-06-01 21:09 - 000140800 _____ () C:\Users\user\AppData\Local\installer.dat
C:\Program Files (x86)\UCBrowser
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => -> No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
ContextMenuHandlers1: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers1: [JZContextMenuExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers2: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
ContextMenuHandlers4: [JsZipShlExt] -> {5C551008-A347-4DB3-AF48-014076FD2B46} => -> No File
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => -> No File
ContextMenuHandlers1_S-1-5-21-2218867971-2836797324-1720790278-1000: [!VideoMASTER] -> {8A7D38FA-6E11-48FF-8315-8B9EA08F5314} => -> No File
Task: {0701BFF5-FB73-4F19-8926-DE4E661D3BC0} - \Milimili -> No File <==== ATTENTION
Task: {39F64CE3-393B-47BE-BCBE-635D25C0D77C} - \Microsoft\Windows\DeviceSettings\Aterriward -> No File <==== ATTENTION
Task: {A1BF95FB-6DA6-4460-A720-423147840A0B} - \Stifaing Update -> No File <==== ATTENTION
Task: {C4FEE21E-E23E-4BAB-8F74-254501EECC4F} - \Plowiry Community -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [216]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [216]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
29.04.2018, 19:12
lovepsone

Вложений: 1

готово
29.04.2018, 20:08
thyrex

Что с проблемой?
29.04.2018, 20:42
lovepsone

касперский все равно его обнаруживает, и интернет стал жестко лагать
30.04.2018, 13:32
lovepsone

Вложений: 1

просканил автозапуск Universal Virus Sniffer
30.04.2018, 19:59
thyrex

Продолжайте там, куда убежали
30.04.2018, 20:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]