Перейти к содержанию

Рекомендуемые сообщения

Дети поймали какой то вирус блокирует работу всех браузеров и требует ввести номер телефона. Проверки различными антивирусами результата не принесли (Kaspesky Rescue Disc, Mbam, Kis)

 

при этом , что то блокирует активацию KIS (обновляется нормально правда установить версию с сайта не удалось, только с диска из коробки) , а Mbam не обновляется.

 

При запуске скрипта для записи лога IE и Chrome открылись в нормальном режиме, после того как скрипт отработал все вернулось назад.

 

Скрин этой пакости  7973035.jpg

 

Во вложении лог и вторым файлом вирус который был явно обнаружен по дате установки со скриптами.

 

Сообщение от модератора Mark D. Pearlstone
Второй файл удалён.
 

CollectionLog-2015.03.04-21.40.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
DeleteService('BDEnhanceBoost');
DeleteService('BDAntiExp');
DeleteService('bd0004');
DeleteService('bd0002');
DeleteService('bd0001');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
SetServiceStart('Update Service for advPlugin', 4);
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('C:\windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
DeleteFile('C:\windows\system32\Tasks\{18E4FC9B-4B4D-4B12-9569-05C7084AACC5}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack



O17 - HKLM\System\CCS\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4

Сделайте новые логи по правилам

Ссылка на сообщение
Поделиться на другие сайты

Hijack эти ветки не фиксит, проблема не устраняется.

 

Ps Из первого моего поста удалите второе вложение если оно уже не нужно.

CollectionLog-2015.03.04-23.16.zip

hijackthis.log

Ссылка на сообщение
Поделиться на другие сайты

HiJack перед фиксом запускали от имени Администратора по правой кнопке мыши? Если нет, переделать выполнение фикса

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
    CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
    CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
    CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
    R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [130888 2015-01-19] (Baidu)
    S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
    S1 bd0001; system32\DRIVERS\bd0001.sys [X]
    S1 bd0002; system32\DRIVERS\bd0002.sys [X]
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieUserList
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieSiteList
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieBrowserModeList
    2015-03-05 08:13 - 2014-11-22 21:50 - 00000000 ____D () C:\Program Files (x86)\advPlugin
    2015-02-20 16:11 - 2014-11-24 11:55 - 00000000 ____D () C:\Users\1\AppData\Roaming\advPlugin
    2015-02-20 14:33 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Roaming\eTranslator
    2015-02-20 14:32 - 2014-09-25 21:50 - 00000000 ____D () C:\Users\1\AppData\Local\storegid
    2015-02-20 14:31 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Local\Kometa
    2015-02-20 14:31 - 2014-09-25 21:51 - 00000000 ____D () C:\Program Files (x86)\test
    2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\Users\Все пользователи\Baidu
    2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\ProgramData\Baidu
    2015-02-20 15:56 - 2014-02-23 17:07 - 00000000 ____D () C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup
    C:\Users\1\Launcher.exe
    C:\ProgramData\help.bat
    C:\Users\Все пользователи\help.bat
    2014-05-08 22:06 - 2014-05-08 22:06 - 0005062 _____ () C:\ProgramData\uxxadbmu.rlu
    Task: {830101DB-0D65-40F4-B038-63F6775B0433} - \{18E4FC9B-4B4D-4B12-9569-05C7084AACC5} No Task File <==== ATTENTION
    Task: {9C0C4040-961E-4D51-8676-061F9D920425} - \PennyBee No Task File <==== ATTENTION
    Task: {E16155FF-CFFF-4BDF-97A6-77BA2BFCE7AE} - \LaunchSignup No Task File <==== ATTENTION
    Reboot:
    
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Ссылка на сообщение
Поделиться на другие сайты

Зашел сегодня под пользователем , которым дети пользуются ( до этого админом входил)

 

и создалось впечатление, что не всё вылечилось. Проверьте пожалуйста лог еще раз.

CollectionLog-2015.03.12-22.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...