Профилактическая проверка

[SLASH_id]

Ноут.

Во вложениии полный комплект включая FRST и ADWCleaner

AdwCleanerS1.txt

CollectionLog-2016.04.15-10.11.zip

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

В подобном "полном" комплекте нет смысла. По мере лечения картина меняется и понадобятся свежие логи. Поэтому начальный комплект нужен только от Автологера.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend

Free VPN version 3.2

Hostify version 1.1

HpDef

Unity Web Player

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('rowugoqo');
 QuarantineFileF('c:\programdata\5wdm5', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\mpck_en_005030283', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\jnsw6CCA.tmp', '');
 QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\knsa8400.tmp', '');
 QuarantineFile('C:\Users\Александр\AppData\Local\20BB0F22-1459432027-DE11-8A82-0024BE3998A5\snsrBC51.tmp', '');
 QuarantineFile('C:\ProgramData\5WdM5\WdMan.exe', '');
 QuarantineFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\hnsw8AF6.tmp', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\svrupg.ex', '');
 QuarantineFile('c:\programdata\homepage.exe', '');
 QuarantineFile('c:\programdata\lightgate.exe', '');
 QuarantineFile('C:\Program Files (x86)\mpck_en_005030283\mpck_en_005030283.exe', '');
 QuarantineFile('c:\programdata\msiql.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('F:\autorun.inf', '');
 QuarantineFile('C:\Users\Александр\appdata\roaming\upupdata\service.exe', '');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 DeleteFile('C:\Users\Александр\appdata\roaming\upupdata\service.exe');
 DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\jnsw6CCA.tmp', '32');
 DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\knsa8400.tmp', '32');
 DeleteFile('C:\Users\Александр\AppData\Local\20BB0F22-1459432027-DE11-8A82-0024BE3998A5\snsrBC51.tmp', '32');
 DeleteFile('C:\ProgramData\5WdM5\WdMan.exe', '32');
 DeleteFile('C:\Program Files (x86)\20BB0F22-1459421067-DE11-8A82-0024BE3998A5\hnsw8AF6.tmp', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\svrupg.ex', '32');
 DeleteFile('c:\programdata\homepage.exe', '32');
 DeleteFile('c:\programdata\lightgate.exe', '32');
 DeleteFile('C:\Program Files (x86)\mpck_en_005030283\mpck_en_005030283.exe', '32');
 DeleteFile('c:\programdata\msiql.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFileMask('c:\programdata\5wdm5', '*', true);
 DeleteFileMask('c:\program files (x86)\mpck_en_005030283', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteDirectory('c:\programdata\5wdm5');
 DeleteDirectory('c:\program files (x86)\mpck_en_005030283');
 DeleteDirectory('c:\program files\spacesoundpro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpSvc','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HomePageHelper','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightGate','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030283','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 DeleteService('gerocyni');
 DeleteService('kevuwybizbt');
 DeleteService('rowugoqo');
 DeleteService('WdMan');
 DeleteService('wucotusy');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Свежий лог AdwCleaner сделайте.

[SLASH_id]

Извините, слишком много логов в одной папке. Не тот автологгер прикрепил.

ADWCleaner log из первого поста корректен.

 

 

Addition.txt

FRST.txt

CollectionLog-2016.04.20-11.27.zip

[Sandor]

ОК, попытка №2

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Diner Extension
Time tasks

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\gmsd_re_005010172', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\gmsd_re_005010172\gmsd_re_005010172.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Hostinstaller\980721999_monster.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\980721999.exe', '');
 QuarantineFile('H:\autorun.inf', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
 DeleteFile('C:\Program Files\gmsd_re_005010172\gmsd_re_005010172.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Hostinstaller\980721999_monster.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SystemMonitor2016\980721999.exe', '32');
 DeleteFileMask('c:\program files\gmsd_re_005010172', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\program files\gmsd_re_005010172');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('c:\users\администратор\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_re_005010172','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Сделайте свежий лог сканирования AdwCleaner.

[SLASH_id]

Карантин  отправил. Ответа пока нет.
 

ClearLNK-20.04.2016_12-25.log

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2. Свежие логи FRST, пожалуйста.

[SLASH_id]

Есть. 

---

Addition.txt

FRST.txt

AdwCleanerC1.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [gmsd_re_005010173] => [X]
Toolbar: HKU\S-1-5-21-894324500-1546944527-1143271377-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!4E853CAD1F1F5A9D9F3F0E7ADAFD0FC24E85.js [2015-12-14] <==== ATTENTION
FF ExtraCheck: C:\Program Files\mozilla firefox\4E853CAD1F1F5A9D9F3F0E7ADAFD0FC24E85 [2015-12-14] <==== ATTENTION
CHR StartupUrls: Profile 1 -> "hxxp://www.istartpageing.com/?type=hp&ts=1449844875&z=3e22358ac4513c30ceff3a3g6z7z1tbb8z3z1b3mbt&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1449855569&z=5507f7b929af4e899579abdg7zdzft5bfw9w9wbm0c&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1449922747&z=8ce9ed0f25ce78c33424c2dg1zaz6t9t3oeocm1w1g&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.istartpageing.com/?type=hp&ts=1450085378&z=2a1de5d59e9ab3a11e6b18egfzfw6e0efb0w4c4m3b&from=cmi&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.yoursites123.com/?type=hp&ts=1452583803&z=3c9b553fbad43c70b5b80efg8zfwdo8w8b0ceb0eaz&from=ient12253&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX","hxxp://www.yoursites123.com/?type=hp&ts=1458223955&z=77e9ff74a22614a7493ee09g0zfw0b7o2o3c7taw0m&from=wpm0314&uid=HitachiXHTS543232A7A384_E20342BL3UWB2J3UWB2JX"
CHR Extension: (Diner Extension) - C:\Users\Администратор\AppData\Local\Diner Extension\Component [2016-04-20]
Task: {0A3773D0-DDD2-4A69-A161-6FCF36CDAF47} - System32\Tasks\Uninstaller_SkipUac_Администратор => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\Windows\system32\fixmapi.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\FlashPlayerApp.exe:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\javaws.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\mapi32.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\mapistub.dll:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\sherlock2.exe:$CmdTcID [64]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[SLASH_id]

Готово, проблем вроде нет

Fixlog.txt

[Sandor]

Хорошо, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты и их папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[SLASH_id]

SecurityCheck излишне. Апдейты и прочее регулирует владелец

[Sandor]

Если не хотите "светить", проверьте так:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

регулирует владелец

И дайте ему почитать Рекомендации после удаления вредоносного ПО