trojan.win32.adject.gen помогите вылечить [Trojan.Win32.Agent.qwhdiw]

**rosyran** · 23.08.2018, 09:15

Добрый день. Завелся trojan.win32.adject.gen по версии KAV в компе, помогите пожалуйста вылечить. Архив с логами сканирования autologger прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.08.2018, 09:17

Уважаемый(ая) rosyran, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 23.08.2018, 22:06

Кейлоггер C:\Windows\uchc.exe - сами устанавливали?

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\programdata\jetproject\jetgui.exe');
 StopService('prifass');
 QuarantineFile('c:\programdata\jetproject\jetgui.exe', '');
 QuarantineFile('C:\Users\NT10\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Windows\FRLib32.dll', '');
 QuarantineFile('C:\Windows\System32\drivers\prifass.sys', '');
 QuarantineFile('Server.exe', '');
 DeleteFile('c:\programdata\jetproject\jetgui.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL', '32');
 DeleteFile('C:\Users\NT10\AppData\Roaming\Microsoft\msi.exe', '');
 DeleteFile('C:\Windows\System32\drivers\prifass.sys', '');
 DeleteFile('Server.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteService('prifass');
 DeleteFileMask('c:\programdata\jetproject', '*', true);
 DeleteDirectory('c:\programdata\jetproject');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**rosyran** · 24.08.2018, 08:20

Добрый день. Да, инфицирование на рабочем компе, поэтому кейлоггер скорее всего входит в пакет jetlogger установленный по требованию руководства.

**Vvvyg** · 24.08.2018, 18:56

Тогда такой скрипт:

Код:

begin
 QuarantineFile('C:\Windows\System32\drivers\prifass.sys', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL', '32');
 DeleteFile('C:\Users\NT10\AppData\Roaming\Microsoft\msi.exe', '');
 DeleteFile('C:\Windows\System32\drivers\prifass.sys', '');
 DeleteFile('Server.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteService('prifass');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Карантин загрузите - и полный образ автозапуска uVS делайте.

**rosyran** · 25.08.2018, 11:14

Я и в прошлый раз uVS делал, его вам загружать?

**Vvvyg** · 25.08.2018, 20:24

Скачайте свежую версию по ссылке выше и делайте полный образ автозапуска.

**rosyran** · 27.08.2018, 08:31

Добрый день. Спасибо за помощь. Скрипт в avz выполнил, архив с ним приложил по первой ссылке на странице. Образ автозапуска в uVS сделал. Каспер перестал ругаться на вирь уже после первого скрипта.

**Vvvyg** · 27.08.2018, 20:13

И где образ автозапуска? Приложите к теме.

**rosyran** · 28.08.2018, 12:33

Прикрепил образ автозапуска к этому сообщению.

**Vvvyg** · 28.08.2018, 16:02

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %Sys32%\DRIVERS\CNCCAD.SYS
delref C:\WINDOWS\SYSTEM32\VSJITDEBUGGER.EXE
deltmp
czoo
delref HTTP://OVGORSKIY.RU
delref %SystemDrive%\USERS\NT10\APPDATA\ROAMING\MICROSOFT\MSI.EXE
delref KOMPAS-3D_V16_X64_TFILE_RU_TORRENT___.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP2\X64\SHELLEX.DLL.
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP2\SHELLEX.DLL.
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**rosyran** · 29.08.2018, 08:22

Добрый день! Все сделал как Вы написали. ZOO... приложил по красной ссылке, log прикрепил к сообщению. Спасибо.

**Vvvyg** · 29.08.2018, 21:44

Проблема решена?

**rosyran** · 30.08.2018, 08:25

Да, спасибо огромное. Проблема была решена ранее, с 23.082018 (после самого первого скрипта) kav перестал ругаться на этот вирус. Заодно под нож попал и jetlogger

, но это ничего - как-нибудь выкручусь.

**CyberHelper** · 30.08.2018, 08:35

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\drivers\prifass.sys - Trojan.Win32.Agent.qwhdiw

trojan.win32.adject.gen помогите вылечить [Trojan.Win32.Agent.qwhdiw] (заявка № 220012)

Опции темы