riaman 0 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 (изменено) Здравствуйте! Предыстория (заражение и борьба с ним). Недели две-три назад при установке программы "снифера" поймал какой-то вирус. Он быстренько установил мне на компьютер несколько ненужных программ, создал кучу ярлыков в "пуске" и на рабочем столе, встроил в браузеры поисковики от мэйл.ру и т.п. После этого я завершил подозрительные для меня процессы в диспетчере задач, удалил все незнакомые мне программы из панели управления, удалил расширения из браузера. После проверил компьютер утилитой DrWeb Cureit, она нашла и удалила несколько вирусов. После этого компьютер пришёл в более или менее стабильное состояние. Но недавно я обнаружил в диспетчере задач подозрительные процессы с именами типа "wrwgf-dfg65-dfgdf.exe". Я установил пробную версию антивируса касперского, но он не определил эти процессы как вирусы. Я в ручную перевёл их в запрещённые программы, потом нашёл их в автозапуске и удалил их из автозапуска и сами файлы программ. А до удаления их из автозапуска антивирус касперского в сетевом мониторинге фиксировал подобные программы (см. прикреплённое изображение "непонятная сетевая программа"). Так же там зафиксирована программа AutoBot - это программа написанная мною для личных целей (не вирус), проверял будет ли реагировать фаервол касперского на эту прогу (она взаимодействует с сетью через официальные dll из Qt и Awesomium) - при "дефолтных" настройках никаких предупреждений антивирус не выдал :-( . Оставшиеся проблемы: 1) Появление записи в реестре от программы Bonjour (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Apple Inc.\Bonjour) . Саму программу я удалил ещё несколько дней назад, а запись в реестре постоянно появляется после перезагрузки (см. прикреплённое изображение). То ли эту запись создаёт какое-либо из используемых мною приложений, то ли это вирус. 2) Нет уверенности в полном излечении от вируса. Посмотрите пожалуйста логи, не осталось ли чего подозрительного. (При формировании логов выдалось предупреждение на приложение TeamViewer, я его использую часто для удалённого доступа к домашнему компьютеру). CollectionLog-2016.07.28-12.04.zip Изменено 28 июля, 2016 пользователем riaman Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\microsoft\macromed\flash player\056f1f96-0ace-416c-b677-3405abbf3b51', '*', true, '', 0 ,0); QuarantineFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', ''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A056F1F96-0ACE-416C-B677-3405ABBF3B51" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', '32'); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteDirectory('c:\programdata\krb updater utility'); DeleteDirectory('c:\program files (x86)\kinoroom browser'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Спасибо за оперативный ответ! Приду вечером домой, выполню указанные действия! Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Добрый вечер! Вроде всё выполнил. Вот ответ на письмо. А автолог во вложении. KLAN-4757847540 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского CollectionLog-2016.07.28-20.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Вот отчёт с AdwCleaner Ещё нашёл у себя на компе приложение Lenovo.TVT.CustomerFeedback.Agent.exe. Может оно создаёт запись в реестре для Bonjour. Я бы и это приложение от линова удалил... Но его нет в установленных программах, а каспер показывает его в сетевых приложениях. Пока просто поместил это приложение в недоверенные и всё ему запретил. AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Добрый вечер! Всё сделал. Отчёты во вложениях. AdwCleanerC1.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 эти расширения для Opera вам известны? Smart Browser™ UpStrong Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Нет не известны, я оперу не использую. Вроде и не устанавливал даже. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 тогда удалим. программу NOX ставили? нужна она? Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Да, ставил - это эмулятор андроида. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: OPR Extension: (Smart Browser™) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-12] OPR Extension: (UpStrong) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-07-23] CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKU\S-1-5-21-1238592337-1437254908-421240383-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 30 июля, 2016 Автор Share Опубликовано 30 июля, 2016 Вот Fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 30 июля, 2016 Share Опубликовано 30 июля, 2016 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.