Кирилл Постнов Опубликовано 3 февраля, 2017 Опубликовано 3 февраля, 2017 Добрый вечер. 17 января начал установку какой-то неблагонадёжной программы. Как только заметил, что стали появляться ярлыки Кинопоиск, браузера Amigo и пр., прервал установку. Удалил все программы, через "Установку удаление программ". 22 января неожиданно началась установка различных программ. Опять же Кинопоиск, копии браузеров установленных какие-то игры и т.д. Поисковик по умолчанию сменился, старые ярлычки браузеров запускали программы из других папок и пр. Скачал CureIT проверил им, он кое-что нашёл и удалил. Потом я удалил все эти новые программы, удалил все браузеры и установил последние версии. Скачал инструмент от Лаборатории Касперского (ЛК) и обновил весь софт о который был не обновлён, установил бесплатную лечилку от ЛК она ничего не нашла.Может быть таких итераций было две. Потом я скачал триальную версию антивируса касперского и на глубоком уровне защиты сделал полную проверку. Вроде бы всё наладилось. Сегодня антивирус нашёл Archer.dll. Он его удаляет с перезагрузкой, а тот снова появляется. Всегда в новой папке. Сделал операции, которые описаны здесь (https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]). Утилита из поста тоже нашла этот Archer и ещё что-то и удалили их, вроде бы. Поэтому когда я запускал сборщик логов то диски С и D в область проверки не включал. Архив прикладываю к посту. Помогите, пожалуйста, справится с этой проблемой. CollectionLog-2017.02.03-20.45.zip
Кирилл Постнов Опубликовано 4 февраля, 2017 Автор Опубликовано 4 февраля, 2017 Полная версия логов. Со всеми дисками. CollectionLog-2017.02.04-05.42.zip
mike 1 Опубликовано 4 февраля, 2017 Опубликовано 4 февраля, 2017 Пофиксите следующие строчки в HiJackThis O22 - ScheduledTask: (Ready) Gipareedese Reports - {root} - "C:\Program Files (x86)\Relgregeck\prerjght.exe" eb73b622-b506-422f-a0a2-c4aafd860254 (file missing) O22 - ScheduledTask: (Ready) Milimili - {root} - "C:\Program Files (x86)\MIO\MIO.exe" -bindurl http://api.mhttxtv.com/hgstxhts541075a7e630_s0a100sng0td8lg0td8lx.exe cmd= O22 - ScheduledTask: (Ready) RunAtStartup - {root} - C:\Users\KaDeaT\AppData\Roaming\Event Monitor\em.exe -rem (file missing) O22 - ScheduledTask: (Ready) WinTOOL - {root} - C:\ProgramData\wintools\WintoolUprI.exe /update (file missing) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Кирилл Постнов Опубликовано 4 февраля, 2017 Автор Опубликовано 4 февраля, 2017 Спасибо за оперативный ответ. Прикрепляю файлы. Addition.txt FRST.txt
mike 1 Опубликовано 4 февраля, 2017 Опубликовано 4 февраля, 2017 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: ShellExecuteHooks: No Name - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} - -> No File GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} HKU\S-1-5-21-515751129-1945880090-4229458448-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-515751129-1945880090-4229458448-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} SearchScopes: HKU\S-1-5-21-515751129-1945880090-4229458448-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX&q={searchTerms} CHR StartupUrls: ChromeDefaultData -> "hxxp://www.amisites.com/?type=hp&ts=1485248329&z=9c057b2b31afbad48332703g3z0b9weo8zab2cdwbe&from=archer1028&uid=HGSTXHTS541075A7E630_S0A100SNG0TD8LG0TD8LX" S2 GubedZL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) file: C:\ProgramData\Microsoft\Office\office_update.dll S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION S4 Uktain; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S4 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X] 2017-02-03 16:17 - 2017-02-03 18:04 - 00000000 ____D C:\Program Files\o0asda6a 2017-02-03 22:05 - 2017-02-04 02:06 - 00000000 ____D C:\Program Files\f09er35s 2014-03-28 00:20 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd 2014-03-28 00:20 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe 2014-03-28 00:20 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS 2009-07-29 09:01 - 2009-07-28 21:31 - 0000223 _____ () C:\ProgramData\SetWallpaper.cmd 2009-07-29 09:01 - 2009-07-23 04:04 - 0024576 _____ () C:\ProgramData\SetWallpaper.exe EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму 1
Кирилл Постнов Опубликовано 4 февраля, 2017 Автор Опубликовано 4 февраля, 2017 Кажется сделал. Вот. Fixlog.txt
Кирилл Постнов Опубликовано 4 февраля, 2017 Автор Опубликовано 4 февраля, 2017 Сделано. Папки с непонятными именами и следующим всё равно появляются и антивирус предлагает их "Лечить с перезагрузкой". Addition.txt FRST.txt
Кирилл Постнов Опубликовано 4 февраля, 2017 Автор Опубликовано 4 февраля, 2017 На всякий случай запустил ещё раз автологер. Вот отчёт. Спасибо, что помогаете мне в выходной день. CollectionLog-2017.02.05-00.43.zip
mike 1 Опубликовано 5 февраля, 2017 Опубликовано 5 февраля, 2017 Не надо присылать логи, которые я не просил делать. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [437248 2017-02-04] () [File not signed] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [118272 2017-02-04] () [File not signed] S3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [526848 2017-02-04] () [File not signed] <==== ATTENTION R2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION 2017-02-04 16:21 - 2017-02-04 16:21 - 00000000 ____D C:\Program Files\o0asda6a 2017-02-04 16:21 - 2017-02-04 16:21 - 00000000 ____D C:\Program Files (x86)\{A52DB791-E1A7-45B2-80DF-91B7BAD642CB} 2017-02-04 16:00 - 2017-02-04 16:18 - 00000000 ____D C:\Program Files (x86)\{347A9330-92F2-4581-BA2E-4A03F37FA453} 2017-02-04 14:23 - 2017-02-04 16:21 - 00000000 ____D C:\Program Files (x86)\Gubed 2017-02-04 14:23 - 2017-02-04 15:57 - 00000000 ____D C:\Program Files (x86)\{6EBB8A33-B59C-449C-A403-E7C918741353} 2017-02-04 14:09 - 2017-02-04 14:09 - 00000000 ____D C:\Program Files (x86)\{1C644FFC-9341-4300-9990-DF2A4F6251CA} 2017-02-03 18:04 - 2017-02-04 14:20 - 00000000 ____D C:\Program Files (x86)\{229904CE-AA6E-43BA-838C-16ACBBC589FF} 2017-02-03 18:04 - 2017-02-03 18:05 - 00000000 ____D C:\Program Files (x86)\MIO 2017-02-03 16:32 - 2017-02-04 14:23 - 00000000 ____D C:\Program Files (x86)\WinArcher EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму 1
Кирилл Постнов Опубликовано 5 февраля, 2017 Автор Опубликовано 5 февраля, 2017 Вот логи. После перезагрузки появился системное сообщение "Обнаружение интерактивных служб". Fixlog.txt
Кирилл Постнов Опубликовано 5 февраля, 2017 Автор Опубликовано 5 февраля, 2017 (изменено) Кажется проблема устранена. Антивирус нашёл ещё два каких-то файла и сам их удалил. Новые папки не появились. Спасибо большое. Нужно ли мне теперь провести какие-то дополнительные действия для окончательного завершения процесса очистки и проверки компьютера? (полную проверку на вирусы и т.п.) И ещё вопрос. Если ситуация повторится нужно написать в эту тему или создать новую? Изменено 5 февраля, 2017 пользователем Кирилл Постнов
mike 1 Опубликовано 5 февраля, 2017 Опубликовано 5 февраля, 2017 Если ситуация повторится нужно написать в эту тему или создать новую? В эту. Нужно ли мне теперь провести какие-то дополнительные действия для окончательного завершения процесса очистки и проверки компьютера? Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме + Упакуйте в архив и прикрепите к сообщению содержимое папки C:\FRST\Quarantine. 1
Кирилл Постнов Опубликовано 5 февраля, 2017 Автор Опубликовано 5 февраля, 2017 (изменено) Архив очень большой (6.5 мегабайта), не могу прикрепить здесь. Лог прикрепил. SecurityCheck.txt Изменено 5 февраля, 2017 пользователем Кирилл Постнов
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти