unname123 Опубликовано 22 октября, 2015 Опубликовано 22 октября, 2015 Скачал файл с сайта, замаскированного под настоящий. Файл оказался исполняемой программой, установившей при запуске вирусы, шпионские программы, нежелательные программы оптимизаторы и т. д. Установленный на тот момент в системе антивирус был устаревшим и пропустил данный файл. После запуска вредоносный файл удалился. В результате: -при запуске ОС выдается сообщение перед окном приветствия с неизвестным содержанием -далее запускается .bat файл со скриптом для работы вредоносного ПО -выводится сообщение о том, что не может быть найдена папка My Documents -в диспетчере задач создаются вредоносные процессы (при завершении они создаются заново) -ярлык Firefox содежат ссылку для перехода на рекламный сайт -при попытке удалить нежелательное ПО оно переустанавливается после перезагрузки и т. д. Провел проверку программой KVRT 2015. Она нашла вредоносное ПО и сообщила об его уничтожении, но после перезагрузки проблема осталась. CollectionLog-2015.10.23-00.32.zip
mike 1 Опубликовано 23 октября, 2015 Опубликовано 23 октября, 2015 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
unname123 Опубликовано 23 октября, 2015 Автор Опубликовано 23 октября, 2015 Логи ClearLNK и AdwCleaner. AdwCleanerS1.txt ClearLNK-23.10.2015_17-41.log
mike 1 Опубликовано 23 октября, 2015 Опубликовано 23 октября, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве.
unname123 Опубликовано 23 октября, 2015 Автор Опубликовано 23 октября, 2015 Лог AdwCleaner. AdwCleanerC1.txt
mike 1 Опубликовано 23 октября, 2015 Опубликовано 23 октября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
unname123 Опубликовано 23 октября, 2015 Автор Опубликовано 23 октября, 2015 (изменено) Сканирование завершилось вылетом из программы с ошибкой. Логи FRST. Addition.txt FRST.txt Изменено 23 октября, 2015 пользователем unname123
mike 1 Опубликовано 23 октября, 2015 Опубликовано 23 октября, 2015 Один из логов битый получился. Заново попробуйте собрать логи.
unname123 Опубликовано 23 октября, 2015 Автор Опубликовано 23 октября, 2015 На этот раз сканирование прошло без ошибок. Приложил новые логи FRST. Addition.txt FRST.txt
mike 1 Опубликовано 23 октября, 2015 Опубликовано 23 октября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds\birds365.exe Folder: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-1547161642-630328440-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [nonodemgnpfmmhbnkecpjjdkfmaifoni] - C:\Program Files\Adobe Flash Players 10.0\adobeflashplayer-sk.crx <not found> 2015-10-21 06:57 - 2015-10-21 21:32 - 00004648 _____ C:\WINDOWS\system32\Puofkyxma.ini 2015-10-21 06:57 - 2015-10-21 21:32 - 00002360 _____ C:\WINDOWS\system32\PuofkyxmaOff.ini 2015-10-21 06:56 - 2015-10-24 00:32 - 00000326 _____ C:\WINDOWS\Tasks\Mhlonz.job 2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\LocalService\Local Settings\Application Data\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} 2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\Alex\Local Settings\Tempfolder 2015-10-19 22:06 - 2015-10-21 22:05 - 00000178 _____ C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-10-19 22:06 - 2015-10-20 02:44 - 00000004 _____ C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 2015-10-19 21:54 - 2015-10-19 21:37 - 00000059 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2015-10-19 21:38 - 2015-10-19 21:38 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2015-10-19 21:37 - 2015-10-21 16:44 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\Browsers 2015-10-19 21:37 - 2015-10-19 21:37 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\SPI 2009-07-23 15:28 - 2009-07-23 15:28 - 0012927 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\nypu.vbs 2009-07-23 15:28 - 2009-07-23 15:28 - 0016988 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\wepa.dll 2009-07-23 15:28 - 2009-07-23 15:28 - 0016495 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\buby.dll Task: C:\WINDOWS\Tasks\Mhlonz.job => C:\Program Files\groover211020150539\Zulcioyg.bat StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Alex\Local Settings\Application Data\Kometa\Application\kometa.exe] => Enabled:Kometa StandardProfile\AuthorizedApplications: [C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe] => Enabled:Crossbrowse EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
unname123 Опубликовано 23 октября, 2015 Автор Опубликовано 23 октября, 2015 (изменено) После перезагрузки процесс birds365.exe остался в диспетчере задач. Сейчас, случайно, в списке загрузок браузера обнаружил запись о неудачном скачивании того самого вредоносного файла. Там указано его название и сайт с которого он был загружен. Может ли пригодится как-нибудь данная информация? Прикрепил новые логи FRST. Fixlog.txt Изменено 23 октября, 2015 пользователем unname123
mike 1 Опубликовано 24 октября, 2015 Опубликовано 24 октября, 2015 После перезагрузки процесс birds365.exe остался в диспетчере задач. Это удаляем?
unname123 Опубликовано 24 октября, 2015 Автор Опубликовано 24 октября, 2015 Да, удаляем. Процесс birds365.exe появился после заражения вредоносом. Но это не единственная проблема. По прежнему осталось окно с неизвестным содержанием и кнопкой OK при старте ОС перед окном приветствия. После нажатия на OK система запускается в обычном режиме. Также есть подозрения, что кроме birds365.exe в диспетчере задач есть и другие лишние процессы. Например, непонятно от чего rundll32.exe.
mike 1 Опубликовано 24 октября, 2015 Опубликовано 24 октября, 2015 Повторите логи FRST.txt и Addition.txt
unname123 Опубликовано 25 октября, 2015 Автор Опубликовано 25 октября, 2015 Новые логи. Addition.txt FRST.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти