Перейти к содержанию

Китайский зловред


Саня_Химик

Рекомендуемые сообщения

Дети на ноут с играми затянули и много мусорных программ, а с ними и вирусы.

Большей частью я всё почистил (в том числе и китайскую прогу Байду), но остались проблемы:

1) самое главное - на ноут не устанавливаются обновления виндовс

2) при запуске гугл Хром запускаются рекламные сайт (сами)

3) неуверен, что смог сам справится и полностью избавиться от китайской программы baidu

 

Выполнил "стандартную" очистку диска С

выполнил сканирование на вирусы прогой Kaspersky Virus Removal Tool

прикладываю логи

CollectionLog-2016.12.02-13.21.zip

Изменено пользователем Саня_Химик
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ (или через Revo) - удалите нежелательное ПО:

Advanced SystemCare 8

AnySend

application extension version 1.5

iLivid

Image Resizer Packages

MediaGet

Mobogenie

OffersWizard Network System Driver

TextEditor

Time tasks

Torch

Wajam

Амиго

电脑管家11.5 [2016/04/20 20:35:53]-->"C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe"

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
 QuarantineFile('C:\ProgramData\xXCqglH\NkZnuTK3.bat', '');
 QuarantineFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
 DeleteFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '32');
 DeleteFile('C:\ProgramData\xXCqglH\NkZnuTK3.bat', '');
 DeleteFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Всё выполнил, скрипты прикладываю.
Единственное пока на newvirus ничего не отослал. Но! отошлю сейчас.

AdwCleanerC0.txt

AdwCleanerS0.txt

ClearLNK-02.12.2016_15-30.log

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Скачал (кстати с основной ссылки не качается, скачал с зеркала), поставил галочку, просканировал

Голи прикрепил

 

PS Извиняюсь за недельное молчание... пришлось уехать в №командировку"

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-42972978-401550410-2292272304-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: DFLTUSER -> "hxxp://mail.ru/cnt/10445?gp=801444"
CHR DefaultSearchURL: DFLTUSER -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B5B2B9AF3-EA86-45D6-AF75-15E31FACC018%7D&gp=811014
CHR DefaultSearchKeyword: DFLTUSER -> mail.ru_
CHR DefaultSuggestURL: DFLTUSER -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\Default\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-11-14]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-08-26]
S3 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
Task: {4087A3BE-4F57-4C3C-AB02-7337E1AF16BF} - \GoogleUpdateManager -> No File <==== ATTENTION
Task: {4207F0A2-9F58-4F50-AF5F-5A92D1578EE1} - \kbrowser-updater-utility -> No File <==== ATTENTION
Task: {4D11B629-C10B-4521-9CBC-5595528710E8} - System32\Tasks\{C2D9FA01-DEFB-496D-9D49-6C74EBB8B668} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7135029C-DB01-46A7-82DA-C84BC7E54332} - System32\Tasks\{64145C1D-7253-41A2-BFC7-B9720F5DF4CC} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7BEF96AD-1FF2-492E-9E6B-209996F1EC2E} - System32\Tasks\{7D7E965D-CADA-423F-8E8E-16ECAF8C0159} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7D01A606-10F4-4B51-8DED-2C4677A2B030} - System32\Tasks\{5A259610-E1FD-4C10-BA78-9C823CB0A3F0} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {A68D4B25-2B40-4F8D-BB1D-424DE282B9B6} - System32\Tasks\{18D85DAC-9DA4-4B04-BCA4-45A2255DDB5B} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {AC10A616-F049-4390-9D05-DDB4AC946F4D} - System32\Tasks\{AD96B41D-223F-4627-A35C-6ECFF7FD556E} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {B6CC6332-BED1-4CB6-BDF5-9BE66FB15DDE} - System32\Tasks\{132FE0E9-6E11-47FD-986B-541BD5F4F7EF} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {E9003C89-E827-458B-A105-8953F6C42206} - System32\Tasks\{D4C99612-9F0A-4107-AFA3-29BDB3D00E6C} => c:\users\asus\appdata\local\amigo\application\amigo.exe
2016-05-20 13:57 - 2014-08-31 16:34 - 00294912 _____ () C:\Users\ASUS\AppData\Roaming\nssm.exe
HKU\S-1-5-21-42972978-401550410-2292272304-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
FirewallRules: [{95E349EC-D210-4E56-8F48-287E27D6EDDB}] => C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [TCP Query User{6E78CE30-8EB3-47D9-BD07-8FEE3EB90E99}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [UDP Query User{E493244C-BF02-4B08-B319-0FE2A77B7CD2}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{EAA7FB5A-9AA5-46DB-9963-C4BFB1B53ADC}] => C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe
FirewallRules: [{47745189-E60E-4D13-B3F7-D8CCCF4393F1}] => C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Что сейчас с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

Еле зашёл... что-то после всех манипуляций у меня куда-то поулетали вообще все браузеры

и Хром долго не запускался.

Фикс лог прикрепляю.

И попробую ща установить интернет эксплорер

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Прикладываю новы архив с отчётом.

Из проблем осталось то, что не устанавливаются обновления на виндовс.

Проблема выглядит - загрузка обновлений постоянно висит на 0% (скрин прикладываю)

И вторая проблема - у гугл хрома какая-то "корявая" надпись в правом верхнем углу.

ГугулХром думаю, может просто переустановить.

Интересно почему обновления на винду не устанавливаются.

CollectionLog-2016.12.09-09.50.zip

post-27916-0-92524000-1481268688_thumb.jpg

post-27916-0-33727900-1481268696_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\asus\appdata\roaming\gemware\node-webkit.exe');
 QuarantineFileF('c:\users\asus\appdata\roaming\gemware', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\asus\appdata\roaming\gemware\node-webkit.exe', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\ffmpegsumo.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\libglesv2.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\libegl.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\nssm.exe', '');
 QuarantineFile('C:\Windows\csrss.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{F336EABE-D48F-4259-ADB2-2A9A0F188E8B}" /F', 0, 15000, true);
 DeleteFile('C:\Windows\csrss.exe');
 DeleteFile('c:\users\asus\appdata\roaming\gemware\node-webkit.exe', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\ffmpegsumo.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\libglesv2.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\libegl.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\nssm.exe', '32');
 DeleteFileMask('c:\users\asus\appdata\roaming\gemware', '*', true);
 DeleteDirectory('c:\users\asus\appdata\roaming\gemware');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','node-webkit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

KLAN-5471072226

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
TqbODefupW0.bat
NkZnuTK3.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Ссылка на комментарий
Поделиться на другие сайты

я ранее прикреплял к сообщению два скирина - первый на ГуглХром надпись на марсианском языке

а второй - не идёт загрузка обновлений

вот эти обе проблемы и остались, УВЫ

и если Гугл я наверное просто его переустановлю, то вот не понятно почему у меня обновления то винды не грузятся, стоят на нуле


ну и ноут почему-то выключается около 5-8 минут

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мы часто говорим о том, что не стоит скачивать пиратские версии игр, поскольку в них могут скрываться зловреды. Но угрозу могут представлять не только они. Иногда неприятные сюрпризы могут обнаружиться в изначально бесплатной игре — совсем недавно это произошло с Super Mario 3: Mario Forever. Но рассказываем обо всем по порядку.
      Зловреды в бесплатной игре Super Mario 3: Mario Forever
      Серия игр Super Mario, также известная как Super Mario Bros. или просто Mario, — одна из самых широко известных игровых вселенных. За 38 лет ее существования только в основной серии вышло 24 оригинальных игры плюс десяток ремейков и ремастерингов. А помимо нее также существует семь спин-офф-серий, которые добавляют в общую вселенную Mario еще многие десятки игр. Однако есть у них одна общая черта: все эти игры, за редчайшим исключением, официально выходили только на собственных игровых платформах Nintendo.
      Что же делать, если хочется поиграть в Mario на компьютере? Придется либо скачивать версии настоящих игр, портированные на PC, либо загружать игры, созданные фанатами Mario, что называется, по мотивам. Но следует иметь в виду, что оба варианта — совсем не официальные, на сайте Nintendo их, конечно же, скачать не получится.
      Поэтому поиск дистрибутива часто может завести в весьма сомнительные места, а вместо игры — или вместе с ней — предприимчивые люди могут подсунуть вам что-нибудь вредоносное. Что-то подобное как раз и произошло с бесплатной игрой Super Mario 3: Mario Forever, созданной фанатами Mario. Эксперты обнаружили версии игры, в комплекте с которыми на компьютер жертвы попадали сразу несколько зловредов.
       
      Посмотреть полную статью
    • himoki2771
      От himoki2771
      Аналитики Check Point обнаружили, что неназванная европейская больница оказалась случайно заражена вредоносным ПО. Исследователи связывают это с неконтролируемым распространением малвари китайской хак-группы Camaro Dragon (она же Mustang Panda, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich) через USB-накопители.
       
      Отчет компании гласит, что обычно Camaro Dragon атакует цели в странах Азии, и в коде малвари группировки можно найти функции, предназначенные для уклонения от SmadAV, популярного в регионе антивирусного решения. Однако вредоносное ПО WispRider и HopperTick проникло в европейскую больницу, а также встречалось исследователям в Мьянме, Южной Корее, Великобритании, Индии и России.
       
      Источник материала
       
    • KL FC Bot
      От KL FC Bot
      Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной разводки на биткойны под тем или иным предлогом до грандиозных криптоограблений на сотни миллионов долларов.
      Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про поддельные криптокошельки, которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже наши эксперты обнаружили новую угрозу: сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.
      Как загрузчик DoubleFinger устанавливает криптостилер GreetingGhoul
      Наши эксперты отдельно отмечают высокий технический уровень этой атаки и ее многоступенчатость — по этой части данная угроза напоминает сложные атаки из категории Advanced Persistant Threat (APT). Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий, которую можно разделить на несколько стадий:
      Стадия 1. Загрузчик DoubleFinger выполняет шелл-код, который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.
       
      Посмотреть полную статью...
×
×
  • Создать...