zyablik 12 Опубликовано 11 сентября, 2017 Share Опубликовано 11 сентября, 2017 (изменено) Здрасьте.Очередная подсадка заразы. Утром нечаянно что-то качнули. Браузер теперь запускается при включении и когда хочет. Посещает разнообразные сайты, куда скажет зараза.Помогите. Спасибо.Adwcleaner не вычистил, хотя много чего находил. AdwCleanerS0.txt AdwCleanerC0.txt Adwcleaner удалю через 5 минут. Логи: CollectionLog-2017.09.11-10.08.zip GSI: GSI6_PC155_UserPC155_09_11_2017_09_55_44.zipЗ.Ы.В то время, пока я пишу это сообщение, идут доп.окошки Chrome (мол, Chrome не отвечает, перезапустить его сейчас?) Не трогал: уже их 5 таких окошек (на панели задач мигает во всю)... Изменено 11 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 сентября, 2017 Share Опубликовано 11 сентября, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\programdata\lsid45229.exe'); TerminateProcessByName('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe'); QuarantineFile('c:\programdata\lsid45229.exe', ''); QuarantineFile('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe', ''); QuarantineFile('C:\Windows\c7044f5d5a7c51ddf57dff5e40d708fa.ps1', ''); QuarantineFile('C:\Windows\system32\Tasks\urlopener', ''); DeleteFile('c:\programdata\lsid45229.exe', '32'); DeleteFile('C:\Users\UserPC155\AppData\Local\Temp\00-05024-0fd-61187-5ce85260e90c8\SVVCDQHMDW.exe', '32'); DeleteFile('C:\Windows\c7044f5d5a7c51ddf57dff5e40d708fa.ps1', '32'); ExecuteFile('schtasks.exe', '/delete /TN "c7044f5d5a7c51ddf57dff5e40d708fa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true); DeleteService('lsid45229'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CoreTempApp'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SVVCDQHMDW.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. PS. в следующий раз просьба самолечением не заниматься. И в этом разделе лог GSI обычно не нужен. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 11 сентября, 2017 Автор Share Опубликовано 11 сентября, 2017 (изменено) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Процедуру провели. Архив получился почти 300 Мб-ный. Может из-за этого, но отправить по той форме не получается. Соединение сбрасывается. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); ....................................... ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Сделали. Перезагрузка. Проблема исчезла. Спасибо, @regist! - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Отправили. Ответ такой: Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode. Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files: lsid45229.exe - UDS:DangerousObject.Multi.Generic No information about the specified files can be found in the antivirus databases: SVVCDQHMDW.exe c7044f5d5a7c51ddf57dff5e40d708fa.ps1 Malicious code has been detected in the following files: urlopener - HEUR:Trojan.Multi.StartPageTask.a We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. CollectionLog-2017.09.11-11.32.zip PS. в следующий раз просьба самолечением не заниматься. И в этом разделе лог GSI обычно не нужен. Слушаемся. Изменено 11 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 сентября, 2017 Share Опубликовано 11 сентября, 2017 (изменено) Архив получился почти 300 Мб-ный. Может из-за этого, но отправить по той форме не получается. Соединение сбрасывается. да, из-за этого. Закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите в ЛС. 1) "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txd R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FhE5NZBFScam04pw8fh9iS47Zsymru4l5yOneSsyoGAROXEQDSvGe_XddJIh3SrWOGQBZILAfdIQ49-xavWJFt9w5kH8-0JnwiK_cpaRMDtERJC3igvIIuNum6fgkT-WQtml41OVkGFALSB0txdvtYIgx63q&q={searchTerms} O4-32 - HKLM\..\Run: [Aimersoft Helper Compact.exe] C:\Program Files (x86)\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe (file missing) 2) Проверьте эти файлы на virustotal C:\Windows\system32\sc.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. И если там рядом найдёте файл C:\Windows\system32\c8c2503fafef966f049f153da5523774 C:\ProgramData\Hayzumflex\ZumNamlam.dll или посмотрите поиском на диске по "c8c2503fafef966f049f153da5523774" может найдётся, его тоже проверьте на вирустотал. 3) Сделайте свежий лог AdwCleaner-ом. Изменено 11 сентября, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 15 сентября, 2017 Автор Share Опубликовано 15 сентября, 2017 (изменено) Извините, из-за объективных причин не смог ответить. Готовлю ответ.----------Пофиксили в HJT.Результат проверки sc.exe на virustotal: https://www.virustotal.com/#/file/b20bbd7b8b5707acc00d7c51ef79771f22f2e201d4844252b675058ebea9e416/detection Файла C:\Windows\system32\c8c2503fafef966f049f153da5523774 нет даже среди скрытыхПапка C:\ProgramData\Hayzumflex пуста AdwCleanerS0.txt Изменено 15 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 сентября, 2017 Share Опубликовано 15 сентября, 2017 Файла C:\Windows\system32\c8c2503fafef966f049f153da5523774 нет даже среди скрытых Надо было поиском по имени файла поискать. Но он уже нашёлся, засветился в логе AdwCleaner-а. 1) Проверьте на https://www.virustotal.com/ru/ C:\Program Files\c8c2503fafef966f049f153da5523774 C:\Program Files\04130fc055cb3b706f6b7fa8d0ffc800 C:\Program Files\dc12d206760be45cbe73ddc5bc6a635b C:\Program Files\f181fa7aad16d67b09282cf32ea599c8 2) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 3) "Пофиксите" в HijackThis: O22 - Task (Ready): c8c2503fafef966f049f153da5523774 - C:\Windows\system32\sc.exe start c8c2503fafef966f049f153da5523774 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 15 сентября, 2017 Автор Share Опубликовано 15 сентября, 2017 (изменено) C:\AdwCleaner\AdwCleaner[C0].txt случайно удалили. Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены. ----------Сделали по-новой и почистили.AdwCleanerC1.txt O22 - Task (Ready): c8c2503fa... пофиксили. В принципе, обозначенной в теме проблемы нет давно. Изменено 15 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 сентября, 2017 Share Опубликовано 15 сентября, 2017 Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены. на вирустотал перед этим не проверили? Интересно было посмотреть было на них. Что с проблемой? И для контроля Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 19 сентября, 2017 Автор Share Опубликовано 19 сентября, 2017 (изменено) Но эти C:\Program Files\c8c2503fafef966f049f153da5523774... и прочая братия все были удалены.на Вирустотал перед этим не проверили? Интересно было посмотреть было на них. Увы... Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. .... Нажмите кнопку Scan. ... Прикрепите отчеты к своему следующему сообщению. Сделаем. Изменено 19 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 19 сентября, 2017 Автор Share Опубликовано 19 сентября, 2017 FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 сентября, 2017 Share Опубликовано 19 сентября, 2017 1) Эти папки вам знакомы? C:\ProgramData\spg C:\ProgramData\s34s C:\ProgramData\s2ds 2) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION AppInit_DLLs: C:\ProgramData\Hayzumflex\ZumNamlam.dll => No File GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2633579703-1755105232-1665030018-1002 -> {902090A4-E9C5-4A29-A0C0-6BF2E90387CC} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H9Bzamobl20544AU,b0065409-7430-4f0a-9b54-17af5449bb9b, SearchScopes: HKU\S-1-5-21-2633579703-1755105232-1665030018-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B9D4D122E-6B37-42A6-A859-D7ABB1F744FE%7D&gp=811022 CHR StartupUrls: Default -> "hxxp://www-searching.com/?pid=s&s=H9Bzamobl20544AU,b0065409-7430-4f0a-9b54-17af5449bb9b,&vp=ch&prd=set_ch" CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx 2017-03-02 09:48 - 2017-03-02 09:48 - 000001456 _____ () C:\Users\UserPC155\AppData\Local\Adobe Сохранить для Web 12.0 Prefs 2017-09-11 09:36 - 2017-09-11 09:36 - 007327744 _____ () C:\Users\UserPC155\AppData\Local\agent.dat 2017-09-11 09:36 - 2017-09-11 09:36 - 000070800 _____ () C:\Users\UserPC155\AppData\Local\Config.xml 2017-09-11 09:36 - 2017-09-11 09:36 - 001899002 _____ () C:\Users\UserPC155\AppData\Local\DoubleRannix.tst 2017-09-11 09:36 - 2017-09-11 09:36 - 000278508 _____ () C:\Users\UserPC155\AppData\Local\Geo-Bam.tst 2017-09-11 09:35 - 2017-09-11 09:35 - 000140800 _____ () C:\Users\UserPC155\AppData\Local\installer.dat 2017-09-11 09:36 - 2017-09-11 09:36 - 000005568 _____ () C:\Users\UserPC155\AppData\Local\md.xml 2017-09-11 09:36 - 2017-09-11 09:36 - 000126464 _____ () C:\Users\UserPC155\AppData\Local\noah.dat 2017-09-11 09:36 - 2017-09-11 09:36 - 000032038 _____ () C:\Users\UserPC155\AppData\Local\uninstall_temp.ico 2015-12-18 10:56 - 2015-12-18 10:56 - 000000000 ____H () C:\ProgramData\DP45977C.lfl Folder: C:\ProgramData\spg Folder: C:\ProgramData\s34s Folder:C:\ProgramData\s2ds EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 (изменено) Эти папки вам знакомы? C:\ProgramData\spg C:\ProgramData\s34s C:\ProgramData\s2ds Нет. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ............ Folder:C:\ProgramData\s2ds EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Fixlog.txt Изменено 20 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Нет. удалите вручную. Проблема решена? 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 (изменено) C:\ProgramData\spg C:\ProgramData\s34s C:\ProgramData\s2ds Нет.удалите вручную. Проблема решена? Удалил. И еще штук 8 подобных в этой папке (s1co, s1fo, s1tk, s1vo и т.п., все созданы или 11.09, или 15.03.2017; и все пустые). Проблема давно решена (см. пост#7). Спасибо! Изменено 20 сентября, 2017 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.