Троян qweeeCL.exe QweeeCL

[Ivan013]

Добрый день, скачал .exe фаил он оказался вирусом. В браузере постоянно открываются вкладки\ссылки, на рабочей стол скачивается всякая ерунда, в автозагрузках появилась программа с именем QweeeCL.

Выполнял все как написано в теме прикрепляю логи 

CollectionLog-2015.12.29-21.52.zip

Изменено 29 декабря, 2015 пользователем Ivan013

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 QuarantineFile('C:\Users\1\AppData\Roaming\MyDesktop\qweeeCL.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');

 DeleteFile('C:\Users\1\AppData\Roaming\MyDesktop\qweeeCL.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.



 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

[Ivan013]

[KLAN-3535104719]

[mike 1]

Остальное выполняйте.

[Ivan013]

Извиняюсь за не внимательность. 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

 

 

Решил повторить процедуры выполнил еще раз первый скрипт, после перезагрузки второй карантин.zip обновился отправил второе письмо результат тот же. Попробовал открыть этот файл показывает что там нечего нету.Это второе письмо [KLAN-3535556129]

Изменено 30 декабря, 2015 пользователем Ivan013

[Sandor]

@Ivan013, нужно это

 

 

Сделайте новые логи Автологгером

т.е. свежий CollectionLog. 

[Ivan013]

 

CollectionLog-2015.12.31-11.39.zip

CollectionLog-2015.12.31-11.39.zip

[Sandor]

В логах порядок, за исключением того, что два антивируса - много

 

AV: 360 Total Security

AV: Защита от вирусов и шпионских программ McAfee

 

Один оставьте, один удалите

Чистка системы после некорректного удаления антивируса.

 

Проблема решена?

[Ivan013]

В логах порядок, за исключением того, что два антивируса - много

 

AV: 360 Total Security

AV: Защита от вирусов и шпионских программ McAfee

 

Один оставьте, один удалите

Чистка системы после некорректного удаления антивируса.

 

Проблема решена?

Проблемы с загрузкой ненужных файлов на рабочий стол, и панель запуска ушла. При работе  в браузере на части сайтах вылетает реклама, к примеру даже на вашем сайте http://forum.kasperskyclub.ru/выскакивает 3 рекламы, а при переходе к другой теме переодически окрывается новое окно с рекламой. Скриншол страницы 

Изменено 4 января, 2016 пользователем Ivan013

[Roman_Five]

приложите логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Ivan013]

приложите логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

CloseProcesses:



CHR Extension: (Quick Searcher) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\henmfoppjjkcencpbjaigfahdjlgpegn [2015-12-29]



CHR Extension: (iLivid) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nafaimnnclfjfedmmabolbppcngeolgf [2015-12-20]



CHR HKU\S-1-5-21-1602870052-4100155296-1324875354-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1602870052-4100155296-1324875354-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx



2015-12-29 20:43 - 2015-12-29 20:43 - 00000000 ____D C:\Users\1\AppData\Roaming\MyDesktop

2015-12-29 20:42 - 2015-12-29 20:46 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity

2015-12-29 20:42 - 2015-12-29 20:46 - 00000000 ____D C:\Users\1\AppData\Local\Unity



2014-11-19 18:04 - 2016-01-04 18:18 - 0000093 _____ () C:\Users\1\AppData\Roaming\sp_data.sys

2014-11-19 17:31 - 2014-11-19 17:31 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

2014-07-31 04:54 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd

2014-07-31 04:54 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe

2014-07-31 04:54 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS











EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[Ivan013]

Проблема ушла! Спасибо большое, прикрепляю логи 

Fixlog.txt

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера