zomod 0 Опубликовано 4 марта, 2015 Share Опубликовано 4 марта, 2015 Дети поймали какой то вирус блокирует работу всех браузеров и требует ввести номер телефона. Проверки различными антивирусами результата не принесли (Kaspesky Rescue Disc, Mbam, Kis) при этом , что то блокирует активацию KIS (обновляется нормально правда установить версию с сайта не удалось, только с диска из коробки) , а Mbam не обновляется. При запуске скрипта для записи лога IE и Chrome открылись в нормальном режиме, после того как скрипт отработал все вернулось назад. Скрин этой пакости Во вложении лог и вторым файлом вирус который был явно обнаружен по дате установки со скриптами. Сообщение от модератора Mark D. Pearlstone Второй файл удалён. CollectionLog-2015.03.04-21.40.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 марта, 2015 Share Опубликовано 4 марта, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe',''); DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}'); DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}'); QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll',''); DeleteService('BDEnhanceBoost'); DeleteService('BDAntiExp'); DeleteService('bd0004'); DeleteService('bd0002'); DeleteService('bd0001'); SetServiceStart('BDMWrench_x64', 4); DeleteService('BDMWrench_x64'); SetServiceStart('Update Service for advPlugin', 4); DeleteService('Update Service for advPlugin'); TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('C:\windows\system32\DRIVERS\BDMWrench_x64.sys','32'); DeleteFile('C:\windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','32'); DeleteFile('C:\windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32'); DeleteFile('C:\windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','32'); DeleteFile('C:\windows\system32\Tasks\{18E4FC9B-4B4D-4B12-9569-05C7084AACC5}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4 O17 - HKLM\System\CS2\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4 Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 4 марта, 2015 Автор Share Опубликовано 4 марта, 2015 Hijack эти ветки не фиксит, проблема не устраняется. Ps Из первого моего поста удалите второе вложение если оно уже не нужно. CollectionLog-2015.03.04-23.16.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 марта, 2015 Share Опубликовано 4 марта, 2015 HiJack перед фиксом запускали от имени Администратора по правой кнопке мыши? Если нет, переделать выполнение фикса Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 4 марта, 2015 Автор Share Опубликовано 4 марта, 2015 Да виноват, запускал без админа. Всё заработало, новый лог нужен? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 марта, 2015 Share Опубликовано 5 марта, 2015 Нужен для контроля. Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 5 марта, 2015 Автор Share Опубликовано 5 марта, 2015 Ок выкладываю. CollectionLog-2015.03.05-20.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 марта, 2015 Share Опубликовано 5 марта, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 6 марта, 2015 Автор Share Опубликовано 6 марта, 2015 Сделано Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 марта, 2015 Share Опубликовано 6 марта, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [130888 2015-01-19] (Baidu) S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu) S1 bd0001; system32\DRIVERS\bd0001.sys [X] S1 bd0002; system32\DRIVERS\bd0002.sys [X] 2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieUserList 2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieSiteList 2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieBrowserModeList 2015-03-05 08:13 - 2014-11-22 21:50 - 00000000 ____D () C:\Program Files (x86)\advPlugin 2015-02-20 16:11 - 2014-11-24 11:55 - 00000000 ____D () C:\Users\1\AppData\Roaming\advPlugin 2015-02-20 14:33 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Roaming\eTranslator 2015-02-20 14:32 - 2014-09-25 21:50 - 00000000 ____D () C:\Users\1\AppData\Local\storegid 2015-02-20 14:31 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Local\Kometa 2015-02-20 14:31 - 2014-09-25 21:51 - 00000000 ____D () C:\Program Files (x86)\test 2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\ProgramData\Baidu 2015-02-20 15:56 - 2014-02-23 17:07 - 00000000 ____D () C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Users\1\Launcher.exe C:\ProgramData\help.bat C:\Users\Все пользователи\help.bat 2014-05-08 22:06 - 2014-05-08 22:06 - 0005062 _____ () C:\ProgramData\uxxadbmu.rlu Task: {830101DB-0D65-40F4-B038-63F6775B0433} - \{18E4FC9B-4B4D-4B12-9569-05C7084AACC5} No Task File <==== ATTENTION Task: {9C0C4040-961E-4D51-8676-061F9D920425} - \PennyBee No Task File <==== ATTENTION Task: {E16155FF-CFFF-4BDF-97A6-77BA2BFCE7AE} - \LaunchSignup No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 6 марта, 2015 Автор Share Опубликовано 6 марта, 2015 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 марта, 2015 Share Опубликовано 6 марта, 2015 Вот теперь можно и на выписку Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 6 марта, 2015 Автор Share Опубликовано 6 марта, 2015 Спасибо за помощь, сам бы не справился Пришлось бы систему занулять. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 7 марта, 2015 Share Опубликовано 7 марта, 2015 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Советы и рекомендации после лечения компьютера Цитата Ссылка на сообщение Поделиться на другие сайты
zomod 0 Опубликовано 12 марта, 2015 Автор Share Опубликовано 12 марта, 2015 Зашел сегодня под пользователем , которым дети пользуются ( до этого админом входил) и создалось впечатление, что не всё вылечилось. Проверьте пожалуйста лог еще раз. CollectionLog-2015.03.12-22.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.