Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Вирусы, зависание компьютера.

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 26

#1 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 10 Октябрь 2019 - 12:47

Здравствуйте!

 

Компьютер проверен KVRT, найдены вирусы.

После лечения запустил Autologger.

 

 

 

Прикрепленные файлы


Сообщение отредактировал eansmol: 10 Октябрь 2019 - 12:48

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 10 Октябрь 2019 - 13:19

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Smart Application Controller
Unity Web Player
Кнопка "Яндекс" на панели задач


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "VhtCslJxjXTjuGA" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', '');
 DeleteFile('C:\Windows\Tasks\VhtCslJxjXTjuGA.job', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 1
Изображение

#3 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 10 Октябрь 2019 - 14:36

1. Удалено нежелательное ПО

 

2. Выполнен скрипт в AVZ

 

3. По адресу newvirus@kaspersky.com получен ответ KLAN-11203900726

"Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

4. Логи собраны.

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 10 Октябрь 2019 - 15:34

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 1
Изображение

#5 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 10 Октябрь 2019 - 16:00

Сканирование в AdwCleaner завершилось

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 10 Октябрь 2019 - 16:04

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 1
Изображение

#7 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 10 Октябрь 2019 - 19:26

1. Повторное сканирование с помощью AdwCleaner выполнено.

 

2. Сканирование с помощью Farbar Recovery Scan Tool выполнено.

 

 

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 10 Октябрь 2019 - 20:19

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {28c23aa6-bb2c-11e7-be8b-1c497b03667d} - "F:\iLinker.exe" 
    HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f87-6709-11e7-be66-90489aca49dc} - "F:\setup.exe" 
    HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f96-6709-11e7-be66-90489aca49dc} - "G:\Autorun.exe" 
    HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {ef23ba27-6ded-11e7-be6d-1c497b03667d} - "E:\installer.exe" 
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {01DE4B91-72A4-42BB-B736-FE1E3C560C45} - System32\Tasks\Steam_x64-S-2-106-91 => "C:\Users\user\AppData\Roaming\MumboJumbo\CODEXi\Steam" [Argument = gtbot2014.] <==== ATTENTION
    Task: {7C3C414F-DBCA-4BF1-961A-60B20F6EC824} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
    Task: {AFDE891E-E1EF-4962-A4B7-DBD4C0ABB477} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
    HKU\S-1-5-21-720443254-957065752-1208379274-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
    URLSearchHook: HKU\S-1-5-21-720443254-957065752-1208379274-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
    BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
    BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
    FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2018-10-12]
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=ffhp15.1.11.102&inline_hp_cnt=11956636
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR NewTab: Default ->  Active:"chrome-extension://beliehdniadoecbonbhlcgbdldccfigp/visual-bookmarks.html"
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] - hxxps://clients2.google.com/service/update2/crx
    U3 aswbdisk; no ImagePath
    S1 IMFCameraProtect; \??\C:\Windows\system32\drivers\IMFCameraProtect.sys [X]
    S3 IMFDownProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFDownProtect.sys [X]
    S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X]
    S3 IMFForceDelete; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFForceDelete.sys [X]
    S1 IMFMBRProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFMBRProtect.sys [X]
    S1 IMFSafeBox; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFSafeBox.sys [X]
    S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [X]
    S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUProcessFilter.sys [X]
    S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IURegistryFilter.sys [X]
    S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X]
    2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
    2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\ProgramData\IObit
    2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Program Files (x86)\IObit
    2019-10-06 12:07 - 2018-04-12 19:14 - 000000000 ____D C:\ProgramData\AVAST Software
    2019-10-01 11:25 - 2018-10-12 09:39 - 000000000 ____D C:\ProgramData\ProductData
    2018-04-12 19:04 - 2019-09-22 14:43 - 000000766 _____ () C:\Users\user\AppData\Local\uBar.lnk
    ShellIconOverlayIdentifiers: [                    IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152]
    FirewallRules: [{F4AFE690-90BB-4582-91E9-AD8E9BCB707D}] => (Allow) C:\Users\user\AppData\Local\Temp\DRPSu17\bin\tools\aria2c.exe No File
    FirewallRules: [{F948BC32-5F02-473C-B4D6-1BA23DEB4677}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{C9958A66-3323-4575-9430-65E07D55778F}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [TCP Query User{D8F32C9E-8E8C-408F-85F5-5EB740A06ED2}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File
    FirewallRules: [UDP Query User{60FA1BBA-0FBB-482B-8403-0D3EC4555017}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File
    FirewallRules: [{F66A5ADF-2B20-463D-89AE-55E829DA8A8A}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File
    FirewallRules: [{5F86B38F-1D0D-4252-ACD0-2C318679F4F4}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File
    FirewallRules: [{864B9A39-0E04-4626-802D-4EA2D1A793B7}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File
    FirewallRules: [{70CA28A0-4572-4783-81F9-83A10F6E19A2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 1
Изображение

#9 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 10 Октябрь 2019 - 21:53

Сделано

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   17,45К   скачиваний 1

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 11 Октябрь 2019 - 08:14

Что сейчас с проблемой?
  • 0
Изображение

#11 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 11 Октябрь 2019 - 09:48

Зависания и разрывы связи с интернет пропали.

Долгая загрузка Windows осталась и Kaspersky Free

обнаружил подозрительные объекты

 

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 11 Октябрь 2019 - 09:55

Скачайте Malwarebytes' Anti-Malware. Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
  • 1
Изображение

#13 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 11 Октябрь 2019 - 12:52

Сделано.

Файл прикрепил

Прикрепленные файлы

  • Прикрепленный файл  scan.txt   29,46К   скачиваний 1

  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 228

Отправлено 11 Октябрь 2019 - 13:00

Удалите (поместите в карантин) все, кроме двух последних

PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Проигнорировано пользователем, [254], [454830],1.0.12853
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [254], [454830],1.0.12853

Так MBAM реагирует на поиск от mail.ru, являющийся дефолтным для русской версии браузера.
  • 1
Изображение

#15 OFF   eansmol

eansmol

    Новичок

  • Новички
  • Cообщений: 21

Отправлено 11 Октябрь 2019 - 15:12

Сделано.

Программа не запросила перезагрузку и не создала отчет о перемещении в карантин


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных