Подозрение на недоудалённый вирус

[Паолина]

Добрый день,

 

Вчера вечером KIS нашёл и удалил какой-то троян. После начались проблемы: из зависающего Google Hangouts вылезала какая-то древняя программа сканирования, а сегодня KIS ругается на каждое открытие браузера (что Chrome, что Firefox), что нарушена цепочка сертификатов. Вообщем, очевидно что-то не в порядке, но полное сканирование ничего не дало. Что можно сделать?

CollectionLog-2016.04.30-17.18.zip

Изменено 30 апреля, 2016 пользователем Паолина

[thyrex]

Пофиксите в HiJack 

O17 - HKLM\System\CCS\Services\Tcpip\..\{a30a2d3b-1724-454b-85d9-5953993bc966}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{d71864d3-6bc0-420a-add8-24362a40208e}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Паолина]

Приложены. Кстати, то, что я назвала древней программой сканирования, называется Reimage: её страница сейчас снова вылезла вместо ссылки на скачивание Farbar

CollectionLog-2016.04.30-18.01.zip

Farbar.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{a30a2d3b-1724-454b-85d9-5953993bc966}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{a30a2d3b-1724-454b-85d9-5953993bc966}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{d71864d3-6bc0-420a-add8-24362a40208e}: [NameServer] 82.163.143.171 82.163.142.173
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\804036\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\804036\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2014-05-29]
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
2016-04-29 21:15 - 2016-04-29 21:19 - 00000000 ____D C:\Users\Все пользователи\2939cee5
2016-04-29 21:15 - 2016-04-29 21:19 - 00000000 ____D C:\ProgramData\2939cee5
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{0e6368da-012c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{0aca5ce3-112c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{05ba26f9-312c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{00cbada4-412c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{0e6368da-012c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{0aca5ce3-112c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{05ba26f9-312c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{00cbada4-412c-0}
2016-04-08 20:29 - 2016-04-29 21:18 - 00000000 ____D C:\Users\Все пользователи\d9e33689-4815-0
2016-04-08 20:29 - 2016-04-29 21:18 - 00000000 ____D C:\ProgramData\d9e33689-4815-0
2016-04-08 20:29 - 2016-04-29 21:17 - 00000000 ____D C:\Users\Все пользователи\d9e33689-7907-1
2016-04-08 20:29 - 2016-04-29 21:17 - 00000000 ____D C:\ProgramData\d9e33689-7907-1
C:\Users\804036\AppData\Local\Temp\A73B.exe
Task: {14A8447F-2255-449E-87AD-CE678AB7893E} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {563EB866-09AF-4A01-BEED-F5725EB207C4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {61A6EC89-1D92-4DA1-B8E0-01D071A86727} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {827DBCDD-3BAD-48E6-894D-EBA6A6CE5B36} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {87E9E3E8-D1CF-4E22-B246-807D13A2DC1D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {9A36D5A7-A99C-4662-A785-D0A28AE165D5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {9AC53301-C316-404B-9402-12EEE5C1F297} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A5EC13EF-3257-490F-A62B-286A811C80C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {DB7DB33A-E7E2-49BA-B5E0-012B22838274} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {F1A6A0D3-9633-426A-A90F-99FA3A97C1D4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {F25F6494-D08B-4C3B-94F2-3F9F9A407671} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Паолина]

Прикреплен!

Fixlog.txt

[thyrex]

Что с проблемой?

[Паолина]

Вроде прошла! Ура, спасибо огромное!