трояны и прочие

[Лилия 0]

Доброго времени суток, прошу помощи.На ноуте появились трояны и куча всякой другой дряни. DrWeb Cureit и Kaspersky Virus Removal Tool удалили в общем более 7000 файлов, но вирус, вижу, продолжает сидеть.

CollectionLog-2016.05.25-18.00.zip

[Sandor 1 252]

Здравствуйте!

 

Запуск ComboFix без специального указания и наблюдения мог привести к плачевным результатам. Если сохранился C:\ComboFix.txt - приложите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
 StopService('MPCKpt');
 StopService('MPCProtectService');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','');
 QuarantineFile('C:\ProgramData\smp2.exe', '');
 QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\ProgramData\smp2.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 DeleteService('MPCKpt');
 DeleteService('MPCProtectService');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 26 мая, 2016 пользователем Sandor

[Лилия 0]

Всё сделала, надеюсь без ошибок.

 

 

KLAN-4334579589

 

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  [/size]

 

MPCKpt.sys,[/size]

mpcprotectservice.exe,[/size]

smp2.exe,[/size]

Google Chrome.lnk,[/size]

Launch Internet-Explorer Browser.lnk,[/size]

Mail.Ru.lnk,[/size]

Internet Explorer.lnk,[/size]

Internet Explorer (No Add-ons).lnk[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Извините, двойные прикрепились

ComboFix.txt

ClearLNK-26.05.2016_09-07.log

ClearLNK-26.05.2016_09-07.log

ComboFix.txt

CollectionLog-2016.05.26-09.54.zip

Изменено 26 мая, 2016 пользователем Sandor

[Sandor 1 252]

Деинсталлируйте ComboFix:

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

 

Затем:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Лилия 0]

сделала

 

AdwCleanerS1.txt

[Sandor 1 252]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Лилия 0]

сделала

FRST.txt

Addition.txt

Shortcut.txt

[Sandor 1 252]

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt

Это тоже покажите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
(DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
(DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
(DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
HKU\S-1-5-21-3835073586-2559468877-1791340666-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF NewTab: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm
FF Homepage: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm
FF Extension: GsearchFinder - C:\Users\GYPNORY\AppData\Roaming\Profiles\2moqr9as.default\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-05-23]
CHR StartupUrls: ChromeDefaultData -> 
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-25] (DotC United Inc)
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-25] (DotC United Inc)
2016-05-26 10:33 - 2016-05-26 10:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
2016-05-25 11:50 - 2016-05-25 11:50 - 00000000 ____D C:\Program Files\Common Files\Noobzo
2016-05-25 11:48 - 2016-05-25 16:45 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
2016-05-25 11:48 - 2016-05-25 11:48 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys
2016-05-24 23:55 - 2016-05-24 23:55 - 00060136 _____ C:\Windows\system32\Drivers\MPCKpt.sys.delete_on_reboot.1759d3
Task: {89F009F3-7297-4D83-98B2-6C9238B85C15} - \TebeInteresno -> No File <==== ATTENTION
Task: {D03B7B83-C5B1-4703-8859-6BD910B31C6E} - \rde3028 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Лилия 0]

извините, досылаю

 

сделано

 

AdwCleanerC1.txt

AdwCleanerC1.txt

Fixlog.txt

[Sandor 1 252]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[Лилия 0]

сделано

GYPNORY-ПК_2016-05-26_11-25-02.7z

[Sandor 1 252]

Следующую операцию выполните в безопасном режиме.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v385c
  BREG
  zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY64.EXE
  bl 5ACE81B129C60E4EA76B09AF3310FA30 105952
  addsgn BA6F9BB2BD6D48720B9C2D754C219CF9DA75303AC173535C8D8B4450D8D6714C6B9ACEFE25559DB63E838F9F465AC2E7E9C3E8721953EC08753297EF8F8B7657 8 MPC
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE
  bl 65BB43F2E4A2636D120FFCA9E1908906 167392
  addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC
  
  delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
  delref %SystemDrive%\USERS\GYPNORY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
  chklst
  delvir
  
  deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER
  czoo
  restart
  
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Из обычного режима повторите контрольный образ автозапуска uVS.

[Лилия 0]

отослала архив ZOO_2016............сделала лог uvs

GYPNORY-ПК_2016-05-26_14-19-34.7z

[Sandor 1 252]

В логах порядок. Что с проблемой?

[Лилия 0]

всё хорошо!  Спасибо Вам огромное!!!