Dimonik144 Опубликовано 18 августа, 2016 Опубликовано 18 августа, 2016 (изменено) Здравствуйте!Пару суток назад по глупости был скачан файл с вирусом, после которого на компьютер сами собой были установлены программы Ali Express, War Thunder, Booking.com и т.д., а в браузере Google Chrome сами собой появились расширения, преимущественно от mail.ru. Было проведено сканирование антивирусом Касперского, затем загружен ряд других антивирусов и программ для удаления вирусов (SUPERAntiSpyware, Malwarebytes Anti-Malware, JRT, Hitmanpro, Adwcleaner_6.000) и произведена очистка ими. Антивирусными программами был удалён целый ряд нежелательных программ. Однако, после всех проведённых манипуляций, программа Adwcleaner_6.000 продолжает находить вредоносный элемент, а после его лечения и перезагрузки, она находит его снова. При этом продолжаются попытки запустить новое расширение в браузере Crome без разрешения, а Malwarebytes Anti-Malware раз за разом обнаруживает угрозу "PUP.Optional.SmartBrowser". Как избавиться от данной проблемы? Kaspersky Internet Security не обнаруживает вирусов на компьютере.Прилагаю логи AutoLogger, adwcleaner_6.000 и Malwarebytes Anti-Malware. AdwCleanerS14.txt CollectionLog-2016.08.18-12.32.zip Malware.txt Изменено 18 августа, 2016 пользователем Dimonik144
mike 1 Опубликовано 18 августа, 2016 Опубликовано 18 августа, 2016 Деинсталлируйте SUPERAntiSpyware. Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\Dima\Downloads\DDMM.exe',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ddmm'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','A0CA2510760780D231690D5969C1217F'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','C82D575A-A058-4899-8DEE-071D2A15154B'); DeleteFile('C:\Users\Dima\AppData\Local\Microsoft\B68530C5688CCD88886D5D3AFF6BCE0E\C1217F9695D096132D08706701A0CA25.exe','32'); DeleteFile('C:\Users\Dima\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\C82D575A-A058-4899-8DEE-071D2A15154B\A768B438-310A-46F3-B3C3-A6A5E345EA8A.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\A0CA2510760780D231690D5969C1217F','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\A0CA2510760780D231690D5969C1217FSB','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A0CA2510760780D231690D5969C1217F','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A0CA2510760780D231690D5969C1217FSB','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\AC82D575A-A058-4899-8DEE-071D2A15154B','64'); DeleteFileMask('C:\Program Files (x86)\Common Files\{65BB4054-0733-5CAD-80FB-80E63B17675C}', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\Common Files\{65BB4054-0733-5CAD-80FB-80E63B17675C}'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. 1 1
Dimonik144 Опубликовано 18 августа, 2016 Автор Опубликовано 18 августа, 2016 @mike 1, Выполнил все вышеперечисленные действия, прикрепляю новые логи и лог из ClearLNK CollectionLog-2016.08.18-15.54.zip ClearLNK-18.08.2016_15-48.log
mike 1 Опубликовано 18 августа, 2016 Опубликовано 18 августа, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 1
Dimonik144 Опубликовано 18 августа, 2016 Автор Опубликовано 18 августа, 2016 @mike 1, Сделано! Addition.txt FRST.txt
mike 1 Опубликовано 18 августа, 2016 Опубликовано 18 августа, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: CHR Extension: (Chrome Media Router) - C:\Users\Dima\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-18] CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-59857881-2501792031-2861209433-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Google search) - C:\Users\Dima\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-17] OPR Extension: (News Tab) - C:\Users\Dima\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-08-17] 2016-08-18 16:33 - 2016-08-18 16:33 - 00000000 ____D C:\Users\Dima\AppData\Local\Tempzxpsign6fb19f8d83f7e599 2016-08-18 16:33 - 2016-08-18 16:33 - 00000000 ____D C:\Users\Dima\AppData\Local\Tempzxpsign606554285a94e275 2016-08-17 22:06 - 2016-08-17 22:06 - 00000000 ____D C:\Users\Dima\AppData\Local\Tempzxpsign4f2b3a291cc06fc4 2016-08-17 22:06 - 2016-08-17 22:06 - 00000000 ____D C:\Users\Dima\AppData\Local\Tempzxpsign2959767bf8d942b9 2016-08-17 20:08 - 2016-08-17 20:08 - 00001134 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk 2016-08-17 20:08 - 2016-08-17 20:08 - 00001134 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk 2016-08-17 20:08 - 2016-08-17 20:08 - 00001134 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk 2016-08-17 20:08 - 2016-08-17 20:08 - 00001134 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk 2016-08-17 20:08 - 2016-08-17 20:08 - 00001134 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk 2016-08-17 12:56 - 2016-08-17 12:56 - 00000000 ____D C:\Users\Dima\AppData\Local\DDMM 2016-08-17 12:56 - 2010-04-09 23:03 - 00048640 _____ C:\Users\Dima\Downloads\DDMM.exe 2016-08-15 21:57 - 2016-08-15 21:57 - 00000000 ____D C:\Users\Dima\AppData\Local\Поиcк в Интeрнете 2016-08-15 21:56 - 2016-08-15 22:06 - 00000000 ____D C:\Users\Dima\AppData\Roaming\Awesomium Task: {2E829E4E-0F8B-48DB-890F-710EDE657364} - \Microsoft\Windows\A0CA2510760780D231690D5969C1217F -> No File <==== ATTENTION Task: {97A5F995-E98D-4225-A676-B103CE91B3A6} - \Microsoft\Windows\AC82D575A-A058-4899-8DEE-071D2A15154B -> No File <==== ATTENTION Task: {AFA2F051-CA87-4809-99EB-1BDDCAA5E3B3} - \Microsoft\A0CA2510760780D231690D5969C1217F -> No File <==== ATTENTION Task: {B1AB0859-8A28-47B5-8F8B-0CF22D2F17EA} - \Microsoft\Windows\A0CA2510760780D231690D5969C1217FSB -> No File <==== ATTENTION Task: {E53B035F-45CB-487A-A32E-68E07DE87519} - \Microsoft\A0CA2510760780D231690D5969C1217FSB -> No File <==== ATTENTION EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму 1 1
Dimonik144 Опубликовано 18 августа, 2016 Автор Опубликовано 18 августа, 2016 (изменено) @mike 1, Проделал данную манипуляцию, был создан файл Fixlog.txt, прикрепляю Fixlog.txt Изменено 18 августа, 2016 пользователем Dimonik144
Dimonik144 Опубликовано 18 августа, 2016 Автор Опубликовано 18 августа, 2016 @mike 1, Вредоносной программы больше нет, нежелательных расширений не появляется, похоже, что всё чисто! Спасибо большое!
mike 1 Опубликовано 19 августа, 2016 Опубликовано 19 августа, 2016 Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Советы и рекомендации после лечения компьютера
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти