SLASH_id Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 Ноут.Во вложениии полный комплект включая FRST и ADWCleaner AdwCleanerS1.txt CollectionLog-2016.04.15-10.11.zip Addition.txt FRST.txt
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 Здравствуйте! В подобном "полном" комплекте нет смысла. По мере лечения картина меняется и понадобятся свежие логи. Поэтому начальный комплект нужен только от Автологера. Через Панель управления - Удаление программ - удалите нежелательное ПО: AnySend Free VPN version 3.2 Hostify version 1.1 HpDef Unity Web Player Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('rowugoqo'); QuarantineFileF('c:\programdata\5wdm5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\mpck_en_005030283', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\jnsw6CCA.tmp', ''); QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\knsa8400.tmp', ''); QuarantineFile('C:\Users\Александр\AppData\Local\20BB0F22-1459432027-DE11-8A82-0024BE3998A5\snsrBC51.tmp', ''); QuarantineFile('C:\ProgramData\5WdM5\WdMan.exe', ''); QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\hnsw8AF6.tmp', ''); QuarantineFile('C:\ProgramData\service.exe', ''); QuarantineFile('C:\Users\Александр\AppData\Roaming\svrupg.ex', ''); QuarantineFile('c:\programdata\homepage.exe', ''); QuarantineFile('c:\programdata\lightgate.exe', ''); QuarantineFile('C:\Program Files (x86)\mpck_en_005030283\mpck_en_005030283.exe', ''); QuarantineFile('c:\programdata\msiql.exe', ''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); QuarantineFile('F:\autorun.inf', ''); QuarantineFile('C:\Users\Александр\appdata\roaming\upupdata\service.exe', ''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', ''); QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', ''); DeleteFile('C:\Users\Александр\appdata\roaming\upupdata\service.exe'); DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\jnsw6CCA.tmp', '32'); DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\knsa8400.tmp', '32'); DeleteFile('C:\Users\Александр\AppData\Local\20BB0F22-1459432027-DE11-8A82-0024BE3998A5\snsrBC51.tmp', '32'); DeleteFile('C:\ProgramData\5WdM5\WdMan.exe', '32'); DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\hnsw8AF6.tmp', '32'); DeleteFile('C:\ProgramData\service.exe', '32'); DeleteFile('C:\Users\Александр\AppData\Roaming\svrupg.ex', '32'); DeleteFile('c:\programdata\homepage.exe', '32'); DeleteFile('c:\programdata\lightgate.exe', '32'); DeleteFile('C:\Program Files (x86)\mpck_en_005030283\mpck_en_005030283.exe', '32'); DeleteFile('c:\programdata\msiql.exe', '32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFileMask('c:\programdata\5wdm5', '*', true); DeleteFileMask('c:\program files (x86)\mpck_en_005030283', '*', true); DeleteFileMask('c:\program files\spacesoundpro', '*', true); DeleteDirectory('c:\programdata\5wdm5'); DeleteDirectory('c:\program files (x86)\mpck_en_005030283'); DeleteDirectory('c:\program files\spacesoundpro'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpSvc','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HomePageHelper','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightGate','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030283','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command'); DeleteService('gerocyni'); DeleteService('kevuwybizbt'); DeleteService('rowugoqo'); DeleteService('WdMan'); DeleteService('wucotusy'); ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Свежий лог AdwCleaner сделайте.
SLASH_id Опубликовано 20 апреля, 2016 Автор Опубликовано 20 апреля, 2016 Извините, слишком много логов в одной папке. Не тот автологгер прикрепил.ADWCleaner log из первого поста корректен. Addition.txt FRST.txt CollectionLog-2016.04.20-11.27.zip
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 ОК, попытка №2 Через Панель управления - Удаление программ - удалите нежелательное ПО: Diner ExtensionTime tasks Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\program files\gmsd_re_005010172', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\администратор\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files\gmsd_re_005010172\gmsd_re_005010172.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Local\Hostinstaller\980721999_monster.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\980721999.exe', ''); QuarantineFile('H:\autorun.inf', ''); QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', ''); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true); DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', ''); DeleteFile('C:\Program Files\gmsd_re_005010172\gmsd_re_005010172.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Local\Hostinstaller\980721999_monster.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\980721999.exe', '32'); DeleteFileMask('c:\program files\gmsd_re_005010172', '*', true); DeleteFileMask('c:\programdata\timetasks', '*', true); DeleteFileMask('c:\programdata\tmp0x0x', '*', true); DeleteFileMask('c:\users\администратор\appdata\local\hostinstaller', '*', true); DeleteDirectory('c:\program files\gmsd_re_005010172'); DeleteDirectory('c:\programdata\timetasks'); DeleteDirectory('c:\programdata\tmp0x0x'); DeleteDirectory('c:\users\администратор\appdata\local\hostinstaller'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_re_005010172','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Файл CheckBrowserLnk.logиз папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK.Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.Сделайте свежий лог сканирования AdwCleaner.
SLASH_id Опубликовано 20 апреля, 2016 Автор Опубликовано 20 апреля, 2016 Карантин отправил. Ответа пока нет. ClearLNK-20.04.2016_12-25.log AdwCleanerS1.txt
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Свежие логи FRST, пожалуйста.
SLASH_id Опубликовано 20 апреля, 2016 Автор Опубликовано 20 апреля, 2016 Есть. --- Addition.txt FRST.txt AdwCleanerC1.txt
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\...\Run: [gmsd_re_005010173] => [X] Toolbar: HKU\S-1-5-21-894324500-1546944527-1143271377-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!4E853CAD1F1F5A9D9F3F0E7ADAFD0FC24E85.js [2015-12-14] <==== ATTENTION FF ExtraCheck: C:\Program Files\mozilla firefox\4E853CAD1F1F5A9D9F3F0E7ADAFD0FC24E85 [2015-12-14] <==== ATTENTION CHR StartupUrls: Profile 1 -> "hxxp://www.istartpageing.com/?type=hp&ts=1449844875&z=3e22358ac4513c30ceff3a3g6z7z1tbb8z3z1b3mbt&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1449855569&z=5507f7b929af4e899579abdg7zdzft5bfw9w9wbm0c&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1449922747&z=8ce9ed0f25ce78c33424c2dg1zaz6t9t3oeocm1w1g&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1450085378&z=2a1de5d59e9ab3a11e6b18egfzfw6e0efb0w4c4m3b&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.yoursites123.com/?type=hp&ts=1452583803&z=3c9b553fbad43c70b5b80efg8zfwdo8w8b0ceb0eaz&from=ient12253&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.yoursites123.com/?type=hp&ts=1458223955&z=77e9ff74a22614a7493ee09g0zfw0b7o2o3c7taw0m&from=wpm0314&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX" CHR Extension: (Diner Extension) - C:\Users\Администратор\AppData\Local\Diner Extension\Component [2016-04-20] Task: {0A3773D0-DDD2-4A69-A161-6FCF36CDAF47} - System32\Tasks\Uninstaller_SkipUac_Администратор => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe AlternateDataStreams: C:\Windows\system32\fixmapi.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\FlashPlayerApp.exe:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\javaws.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\mapistub.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\sherlock2.exe:$CmdTcID [64] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Сообщите что с проблемой.
SLASH_id Опубликовано 20 апреля, 2016 Автор Опубликовано 20 апреля, 2016 Готово, проблем вроде нет Fixlog.txt
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 Хорошо, в завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. Остальные утилиты и их папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
SLASH_id Опубликовано 20 апреля, 2016 Автор Опубликовано 20 апреля, 2016 SecurityCheck излишне. Апдейты и прочее регулирует владелец
Sandor Опубликовано 20 апреля, 2016 Опубликовано 20 апреля, 2016 Если не хотите "светить", проверьте так: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. регулирует владелецИ дайте ему почитать Рекомендации после удаления вредоносного ПО
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти