Касперский обнаружил и не лечит MEM:Trojan.Win32.Adject.gen [Trojan.Win32.Agent.qwhdmv ]

Касперский обнаружил и не лечит MEM:Trojan.Win32.Adject.gen с перезагрузкой.
Расположение: System Memory
Прошу помочь! Спасибо!

Уважаемый(ая) [B]alexey365[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Доброе утро!
Да, спасибо!
Всё сделал.

Также появилась новая проблема - неправильная работа поисковиков в IE и Chrome. Решил воспользоватся программой adwcleaner. Помогло. Касперский перестал обнаруживать Trojan. Восстановилась корректная работа поисковиков.

[QUOTE=alexey365;1485706]Также появилась новая проблема - неправильная работа поисковиков в IE и Chrome. Решил воспользоватся программой adwcleaner. Помогло. Касперский перестал обнаруживать Trojan. Восстановилась корректная работа поисковиков.[/QUOTE]
К сожалению, опять вылезает MEM:Trojan.Win32.Adject.gen
Этот вирус прописывается сюда
C:\WINDOWS\System32\drivers\powzip.sys
Некорректная работа поисковика Google в IE и Crome.
Логи не могу приложить, так как два уже приложенных файла не дают приложить третий.

Пожалуйста, помогите!

[quote="alexey365;1485740"]Логи не могу приложить, так как два уже приложенных файла не дают приложить третий.[/quote]Vhq кабинет - Вложения и удаляете самые старые.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Да, приложил архив с двумя файлами.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Toolbar: HKU\S-1-5-21-1997295355-1241006647-536190154-1000 -> No Name - {3507FA00-ADA2-4A02-99B9-51AD26CA9120} - No File
Toolbar: HKLM - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine64\21.1.0.18\coIEPlg.dll No File
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [obapaleeimcagfaifeiofijkenmjeeff] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\Olga\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-02-16]
R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193160 2018-07-09] (Nice Pulle Science and Technology Ltd.)
C:\WINDOWS\System32\drivers\powzip.sys
2018-07-22 15:05 - 2018-07-22 15:54 - 000000000 _____ () C:\Users\Olga\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2018-07-22 15:05 - 2018-07-22 15:54 - 000000016 _____ () C:\Users\Olga\AppData\Local\Temp\e825378795cf6355c404b1af17ba6668.dll
ShellIconOverlayIdentifiers: [ !!!smico] -> {C6E713CA-A7FD-4C73-9E34-AD7676CB957F} => -> No File
ContextMenuHandlers1: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => -> No File
ContextMenuHandlers1: [SMShellExts] -> {3871F95B-BF7A-4c17-950B-3ECBCA765A45} => -> No File
ContextMenuHandlers2: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => -> No File
ContextMenuHandlers4: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} => -> No File
Task: {0C4B83A2-9256-4ED8-89A6-FF4EE380CB7E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {1DBD1B39-B134-44EC-8096-C52AFA51AFBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {226142EA-2678-4B8C-8EAB-262AED4EB37C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {22B0FBF9-54ED-4169-BAC4-370A306A7467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {3277A55F-B66B-4FCA-8A75-4C0F37C799F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {38DB5478-964D-4F88-ABEB-20140617A41B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {4308917F-6787-4348-B0B1-E6B70B90D943} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4620A2D2-59EC-48EA-B98D-F14D3F7EB86A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6A8AA8BC-60BD-482F-B117-28449323C093} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {811EA292-67A3-4A34-93FD-94857FB9BC8E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {843FE2E3-B134-48B5-97D2-647CAD16C1A1} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {9FE409D0-8317-4717-B6A6-5FC0575E482B} - \ElementsBrowser update -> No File <==== ATTENTION
Task: {D6E068AD-B42C-4880-9619-2B956F3AE8A6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Olga:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\TEMP:0AF6266B [122]
AlternateDataStreams: C:\ProgramData\TEMP:D3331ADB [122]
AlternateDataStreams: C:\ProgramData\TEMP:ED215A97 [124]
AlternateDataStreams: C:\Users\Olga\AppData\Local\Temp:$DATA​ [16]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:0AF6266B [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D3331ADB [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:ED215A97 [124]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделал Fix.
Файл прилагаю.

Проблема решена?

Да, спасибо!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\powzip.sys - [B]Trojan.Win32.Agent.qwhdmv[/B][/LIST][/LIST]