riaman 0 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 (изменено) Здравствуйте! Предыстория (заражение и борьба с ним). Недели две-три назад при установке программы "снифера" поймал какой-то вирус. Он быстренько установил мне на компьютер несколько ненужных программ, создал кучу ярлыков в "пуске" и на рабочем столе, встроил в браузеры поисковики от мэйл.ру и т.п. После этого я завершил подозрительные для меня процессы в диспетчере задач, удалил все незнакомые мне программы из панели управления, удалил расширения из браузера. После проверил компьютер утилитой DrWeb Cureit, она нашла и удалила несколько вирусов. После этого компьютер пришёл в более или менее стабильное состояние. Но недавно я обнаружил в диспетчере задач подозрительные процессы с именами типа "wrwgf-dfg65-dfgdf.exe". Я установил пробную версию антивируса касперского, но он не определил эти процессы как вирусы. Я в ручную перевёл их в запрещённые программы, потом нашёл их в автозапуске и удалил их из автозапуска и сами файлы программ. А до удаления их из автозапуска антивирус касперского в сетевом мониторинге фиксировал подобные программы (см. прикреплённое изображение "непонятная сетевая программа"). Так же там зафиксирована программа AutoBot - это программа написанная мною для личных целей (не вирус), проверял будет ли реагировать фаервол касперского на эту прогу (она взаимодействует с сетью через официальные dll из Qt и Awesomium) - при "дефолтных" настройках никаких предупреждений антивирус не выдал :-( . Оставшиеся проблемы: 1) Появление записи в реестре от программы Bonjour (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Apple Inc.\Bonjour) . Саму программу я удалил ещё несколько дней назад, а запись в реестре постоянно появляется после перезагрузки (см. прикреплённое изображение). То ли эту запись создаёт какое-либо из используемых мною приложений, то ли это вирус. 2) Нет уверенности в полном излечении от вируса. Посмотрите пожалуйста логи, не осталось ли чего подозрительного. (При формировании логов выдалось предупреждение на приложение TeamViewer, я его использую часто для удалённого доступа к домашнему компьютеру). CollectionLog-2016.07.28-12.04.zip Изменено 28 июля, 2016 пользователем riaman Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 890 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\microsoft\macromed\flash player\056f1f96-0ace-416c-b677-3405abbf3b51', '*', true, '', 0 ,0); QuarantineFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', ''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A056F1F96-0ACE-416C-B677-3405ABBF3B51" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', '32'); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteDirectory('c:\programdata\krb updater utility'); DeleteDirectory('c:\program files (x86)\kinoroom browser'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Спасибо за оперативный ответ! Приду вечером домой, выполню указанные действия! Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Добрый вечер! Вроде всё выполнил. Вот ответ на письмо. А автолог во вложении. KLAN-4757847540 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского CollectionLog-2016.07.28-20.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 890 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 28 июля, 2016 Автор Share Опубликовано 28 июля, 2016 Вот отчёт с AdwCleaner Ещё нашёл у себя на компе приложение Lenovo.TVT.CustomerFeedback.Agent.exe. Может оно создаёт запись в реестре для Bonjour. Я бы и это приложение от линова удалил... Но его нет в установленных программах, а каспер показывает его в сетевых приложениях. Пока просто поместил это приложение в недоверенные и всё ему запретил. AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 890 Опубликовано 28 июля, 2016 Share Опубликовано 28 июля, 2016 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Добрый вечер! Всё сделал. Отчёты во вложениях. AdwCleanerC1.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 591 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 эти расширения для Opera вам известны? Smart Browser™ UpStrong Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Нет не известны, я оперу не использую. Вроде и не устанавливал даже. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 591 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 тогда удалим. программу NOX ставили? нужна она? Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 29 июля, 2016 Автор Share Опубликовано 29 июля, 2016 Да, ставил - это эмулятор андроида. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 591 Опубликовано 29 июля, 2016 Share Опубликовано 29 июля, 2016 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: OPR Extension: (Smart Browser™) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-12] OPR Extension: (UpStrong) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-07-23] CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKU\S-1-5-21-1238592337-1437254908-421240383-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
riaman 0 Опубликовано 30 июля, 2016 Автор Share Опубликовано 30 июля, 2016 Вот Fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 890 Опубликовано 30 июля, 2016 Share Опубликовано 30 июля, 2016 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.