Подозрение на вирус

[Николаев Александр]

У меня похожая проблема после посещения сайта http://ambersoft.ru/. Что можно сделать?

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Николаев Александр]

Отчет из   AutoLogger.

Так же сделал проверку компьютера Dr.Web cureit

CollectionLog-2016.02.10-23.02.zip

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Body Text Feathering
Defsoft
GamesDesktop 033.005010233
Defsoft
yoursearching uninstall
Интернет
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Defsoft\lKEK8M.exe','');
 QuarantineFile('C:\Windows\system32\tssk.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17209.801\TsNetHlp.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17209.801\QMUdisk.sys','');
 QuarantineFile('C:\Program Files\03DE0294-1455116613-05C2-C506-9B0700080009\knszF2D1.tmpfs', '');
 QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Users\Glory\appdata\roaming\daemon2.exe', '');
 QuarantineFile('C:\Users\Glory\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Glory\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Программы\Google Chrome\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Glory\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
 QuarantineFile('C:\Users\Glory\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk','');
 QuarantineFile('C:\ProgramData\RNKtUgRlDY\FGrKor0.bat','');
 QuarantineFile('C:\ProgramData\ZDiWCE\FyNPFFEuz5.bat','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17209.801\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17209.801\TsNetHlp.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Program Files\Defsoft\lKEK8M.exe','32');
 DeleteFile('C:\Program Files\03DE0294-1455116613-05C2-C506-9B0700080009\knszF2D1.tmpfs', '32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Users\Glory\appdata\roaming\daemon2.exe', '32');
 DeleteFile('C:\ProgramData\RNKtUgRlDY\FGrKor0.bat','32');
 DeleteFile('C:\ProgramData\ZDiWCE\FyNPFFEuz5.bat','32');
 DeleteService('HSystem');
 DeleteService('TSSK');
 DeleteService('tsnethlp');
 DeleteService('softaal');
 DeleteService('QMUdisk');
 DeleteService('qypuzepezbt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Николаев Александр]

KLAN-3738732705

Так же в письме указанно следующее:

tssk.sys,
Registry.pol,
daemon2.exe,
Google Chrome.lnk,
Internet Explorer.lnk,
Google Chrome_0.lnk,
Google Chrome_1.lnk,
Google Chrome_2.lnk,
Mail.Ru.lnk,
FGrKor0.bat,
FyNPFFEuz5.bat,
bcqr00017.dat,
bcqr00018.dat,
bcqr00019.dat,
bcqr00020.dat,
bcqr00021.dat,
bcqr00022.dat,
bcqr00023.dat,
bcqr00024.dat,
bcqr00025.dat,
bcqr00026.dat,
bcqr00027.dat,
bcqr00028.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-11.02.2016_00-56.log

AdwCleanerS2.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.


2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Николаев Александр]

Выкладываю

FRST.txt

Shortcut.txt

Addition.txt

AdwCleanerC2.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_005010233] => [X]
Toolbar: HKU\S-1-5-21-1183748071-559990522-3599539029-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-02-10 21:35 - 2016-02-11 00:45 - 00000000 ____D C:\Users\Все пользователи\ZDiWCE
2016-02-10 21:35 - 2016-02-11 00:45 - 00000000 ____D C:\Users\Все пользователи\RNKtUgRlDY
2016-02-10 21:35 - 2016-02-11 00:45 - 00000000 ____D C:\ProgramData\ZDiWCE
2016-02-10 21:35 - 2016-02-11 00:45 - 00000000 ____D C:\ProgramData\RNKtUgRlDY
2016-02-10 21:35 - 2016-02-10 21:38 - 00000000 ____D C:\Users\Glory\AppData\Roaming\MailProducts
2016-02-10 21:20 - 2016-02-10 21:20 - 01571704 _____ C:\Users\Glory\Downloads\QQPCDownload1322.exe
2016-02-10 21:08 - 2016-02-10 21:08 - 00000000 ____D C:\Users\Glory\AppData\Roaming\ProductData
2016-02-10 21:07 - 2016-02-10 22:13 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-02-10 21:07 - 2016-02-10 22:13 - 00000000 ____D C:\ProgramData\ProductData
2016-02-10 21:07 - 2016-02-10 21:08 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-02-10 21:07 - 2016-02-10 21:08 - 00000000 ____D C:\ProgramData\IObit
2016-02-10 21:07 - 2016-02-10 21:07 - 00005120 _____ C:\Users\Glory\AppData\Roaming\GiftBag.db
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Users\Glory\AppData\Roaming\IObit
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Users\Glory\AppData\Roaming\Apple Computer
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Users\Glory\AppData\LocalLow\IObit
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-10 21:07 - 2016-02-10 21:07 - 00000000 ____D C:\Program Files\Common Files\IObit
2016-02-10 21:04 - 2016-02-10 21:04 - 00000000 ____D C:\Users\Glory\AppData\Local\Hostinstaller
2016-02-10 21:03 - 2016-02-10 21:06 - 00000000 ____D C:\Users\Glory\AppData\Roaming\Calculator
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\Users\Все пользователи\YFNRji
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\Users\Все пользователи\iKpswR
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\Users\Все пользователи\iCUVSGZnR
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\ProgramData\YFNRji
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\ProgramData\iKpswR
2016-02-10 21:00 - 2016-02-10 21:00 - 00000000 ____D C:\ProgramData\iCUVSGZnR
C:\ProgramData\iKpswR\KKgHmw3.bat
FirewallRules: [{C4D9431C-A95C-42E9-A249-1A96BF6F069A}] => (Allow) C:\Users\Glory\Downloads\QQPCDownload1322.exe
FirewallRules: [{CA6D8AB3-2D1C-4368-997D-183E53ADCA52}] => (Allow) C:\Users\Glory\Downloads\QQPCDownload1322.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ярлыки

C:\Users\Glory\Desktop\ICCup Launcher.lnk

C:\Users\Glory\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICCup Launcher\ICCup Launcher.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

Сообщите остались ли еще подозрения.