атака вирусных программ.

[psiflyfire]

Купили новую машинку. и практически за неделю, на компьютере стали твориться разные непонятные вещи. винда 10 при загрузке спрашивала  различные разрешения для программ. Браузер выдавай по поиску нужны запрос но не переходил по этой ссылки. купили KIS  не устанавливается. Проверил доктором Вебом, удалил 129 всяких нехороших штук. Удалил программы. Автологгер самозакрываеться на проверке браузеров.

 

AdwCleanerS2.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] (используйте специальную версию Автологгера)

Изменено 27 февраля, 2016 пользователем mike 1

[psiflyfire]

не помогло

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

[psiflyfire]

вот

DEXP_2016-02-27_13-44-28.7z

[mike 1]

Выполните скрипт в uVS:

 

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
breg
 
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEIDJEEFDDHGEFEPLHDLEGOLDLGIODON%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.YEABESTS.CC/
delall %SystemDrive%\USERS\17D3~1\APPDATA\LOCAL\TEMP\HYD7231.TMP.1451673300\HTA\3RDPARTY\OCCOMSDK.DLL
delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\EYINAVNUKCUCV\QUMPAMGH.EXE
delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\UPUPDATA\AUTOTIME.EXE
delall %SystemDrive%\USERS\ДЕНИС\APPDATA\ROAMING\UPUPDATA\CESSRS.EXE
delall D:\DOCUMENTS\SYSTEMFILE.EXE
exec C:\Users\Денис\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
deltmp
restart
 

 

Компьютер перезагрузится.

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

[psiflyfire]

если я все правильно понял, то от первой программы только лог появился.

AdwCleanerC1.txt

2016-02-27_14-06-42_log.txt

Изменено 27 февраля, 2016 пользователем psiflyfire

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[psiflyfire]

вот 

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-02-23 14:56 - 2016-02-23 14:56 - 00000000 ____D C:\Users\Денис\AppData\Local\SystemMonitor2016
2016-02-23 14:55 - 2016-02-23 17:59 - 00000192 _____ C:\Users\Денис\Desktop\Искать в Интернете.url
2016-02-24 21:50 - 2016-02-27 14:05 - 00000000 ____D C:\Users\Денис\AppData\Roaming\UPUpdata
2016-02-24 21:50 - 2016-02-24 21:51 - 00000000 ____D C:\Users\Денис\AppData\Local\Tempfolder
2016-02-24 21:50 - 2016-02-24 21:50 - 00003396 _____ C:\WINDOWS\System32\Tasks\Jehavi
2016-02-17 14:57 - 2016-02-17 14:57 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-17 14:57 - 2016-02-17 14:57 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-17 14:54 - 2016-02-17 14:54 - 00000000 ____D C:\Users\Денис\AppData\Local\Hostinstaller
2016-02-17 14:54 - 2016-02-17 14:53 - 00000997 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-02-17 14:53 - 2016-02-17 15:00 - 00000000 ____D C:\Users\Денис\AppData\Roaming\TextEditor
2016-02-17 14:51 - 2016-02-18 10:32 - 00000000 ____D C:\Users\Денис\AppData\Local\Unity
2016-02-17 14:51 - 2016-02-17 15:34 - 00000000 ____D C:\Users\Денис\AppData\LocalLow\Unity
2016-02-17 14:50 - 2016-02-17 14:50 - 00000000 ____D C:\Users\Все пользователи\WhNoqcSg
2016-02-17 14:50 - 2016-02-17 14:50 - 00000000 ____D C:\Users\Все пользователи\tmtwwu
2016-02-17 14:50 - 2016-02-17 14:50 - 00000000 ____D C:\ProgramData\WhNoqcSg
2016-02-17 14:50 - 2016-02-17 14:50 - 00000000 ____D C:\ProgramData\tmtwwu
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[psiflyfire]

up

Fixlog.txt

[mike 1]

Что с проблемой?

[psiflyfire]

все исчезло и каперский установился нормально.спасибо

[mike 1]

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

 

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

 

 

[psiflyfire]

усе сделал. авз остался доволен уязвимостей не нашел.