Касперский обнаружил и не лечит MEM:Trojan.Win32.Adject.gen [Trojan.Win32.Agent.qwhdmv ]

**alexey365** · 26.07.2018, 23:10

Касперский обнаружил и не лечит MEM:Trojan.Win32.Adject.gen с перезагрузкой.
Расположение: System Memory
Прошу помочь! Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.07.2018, 23:12

Уважаемый(ая) alexey365, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.07.2018, 07:52

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\System32\drivers\powzip.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**alexey365** · 27.07.2018, 08:13

Доброе утро!
Да, спасибо!
Всё сделал.

**alexey365** · 28.07.2018, 09:43

Также появилась новая проблема - неправильная работа поисковиков в IE и Chrome. Решил воспользоватся программой adwcleaner. Помогло. Касперский перестал обнаруживать Trojan. Восстановилась корректная работа поисковиков.

**alexey365** · 29.07.2018, 00:40

Сообщение от alexey365

Также появилась новая проблема - неправильная работа поисковиков в IE и Chrome. Решил воспользоватся программой adwcleaner. Помогло. Касперский перестал обнаруживать Trojan. Восстановилась корректная работа поисковиков.

К сожалению, опять вылезает MEM:Trojan.Win32.Adject.gen
Этот вирус прописывается сюда
C:\WINDOWS\System32\drivers\powzip.sys
Некорректная работа поисковика Google в IE и Crome.
Логи не могу приложить, так как два уже приложенных файла не дают приложить третий.

Пожалуйста, помогите!

**thyrex** · 29.07.2018, 09:16

Сообщение от alexey365

Логи не могу приложить, так как два уже приложенных файла не дают приложить третий.

Vhq кабинет - Вложения и удаляете самые старые.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**alexey365** · 29.07.2018, 11:46

Да, приложил архив с двумя файлами.

**thyrex** · 29.07.2018, 12:04

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Toolbar: HKU\S-1-5-21-1997295355-1241006647-536190154-1000 -> No Name - {3507FA00-ADA2-4A02-99B9-51AD26CA9120} -  No File
Toolbar: HKLM - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton 360\Engine64\21.1.0.18\coIEPlg.dll No File
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [obapaleeimcagfaifeiofijkenmjeeff] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1997295355-1241006647-536190154-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\Olga\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-02-16]
R1 powzip; C:\WINDOWS\System32\drivers\powzip.sys [193160 2018-07-09] (Nice Pulle Science and Technology Ltd.)
C:\WINDOWS\System32\drivers\powzip.sys
2018-07-22 15:05 - 2018-07-22 15:54 - 000000000 _____ () C:\Users\Olga\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2018-07-22 15:05 - 2018-07-22 15:54 - 000000016 _____ () C:\Users\Olga\AppData\Local\Temp\e825378795cf6355c404b1af17ba6668.dll
ShellIconOverlayIdentifiers: [ !!!smico] -> {C6E713CA-A7FD-4C73-9E34-AD7676CB957F} =>  -> No File
ContextMenuHandlers1: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> No File
ContextMenuHandlers1: [SMShellExts] -> {3871F95B-BF7A-4c17-950B-3ECBCA765A45} =>  -> No File
ContextMenuHandlers2: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> No File
ContextMenuHandlers4: [SmartMountShlExt] -> {3871F95B-BF7A-4C17-950B-3ECBCA765A45} =>  -> No File
Task: {0C4B83A2-9256-4ED8-89A6-FF4EE380CB7E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {1DBD1B39-B134-44EC-8096-C52AFA51AFBF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {226142EA-2678-4B8C-8EAB-262AED4EB37C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {22B0FBF9-54ED-4169-BAC4-370A306A7467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {3277A55F-B66B-4FCA-8A75-4C0F37C799F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {38DB5478-964D-4F88-ABEB-20140617A41B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {4308917F-6787-4348-B0B1-E6B70B90D943} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4620A2D2-59EC-48EA-B98D-F14D3F7EB86A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6A8AA8BC-60BD-482F-B117-28449323C093} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {811EA292-67A3-4A34-93FD-94857FB9BC8E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {843FE2E3-B134-48B5-97D2-647CAD16C1A1} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {9FE409D0-8317-4717-B6A6-5FC0575E482B} - \ElementsBrowser update -> No File <==== ATTENTION
Task: {D6E068AD-B42C-4880-9619-2B956F3AE8A6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Olga:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\TEMP:0AF6266B [122]
AlternateDataStreams: C:\ProgramData\TEMP:D3331ADB [122]
AlternateDataStreams: C:\ProgramData\TEMP:ED215A97 [124]
AlternateDataStreams: C:\Users\Olga\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:0AF6266B [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D3331ADB [122]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:ED215A97 [124]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**alexey365** · 29.07.2018, 12:18

Сделал Fix.
Файл прилагаю.

**thyrex** · 29.07.2018, 12:22

Проблема решена?

**alexey365** · 29.07.2018, 12:30

Да, спасибо!!!

**CyberHelper** · 29.07.2018, 12:40

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\drivers\powzip.sys - Trojan.Win32.Agent.qwhdmv

Касперский обнаружил и не лечит MEM:Trojan.Win32.Adject.gen [Trojan.Win32.Agent.qwhdmv ] (заявка № 219749)

Опции темы