Aduk Опубликовано 9 декабря, 2016 Опубликовано 9 декабря, 2016 (изменено) С просторов интернета был скачан файл с "Электронным приложением к учебнику русского языка" для школы. При запуске поставилось некоторое количество игрушек, плагины Мэйл.ру и прочий мусор. Это все было удалено вручную. Осталась проблема с назойливым плагином Fast Search и трояном, детектируемом Защитником Windows при загрузке системы. Вирус добавляет рекламу в открываемые страницы, спонтанно открывает новые страницы с рекламой, подменяет стартовую страницу и поисковую систему в Chome, IE и Firefox. Плагин можно удалить, но он снова появляется при запуске браузера. Логи прикрепляю. CollectionLog-2016.12.09-09.35.zip Изменено 9 декабря, 2016 пользователем Aduk
Sandor Опубликовано 9 декабря, 2016 Опубликовано 9 декабря, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('D:\programs\lazarus\lazarus.exe',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\swEXT\ml.py',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\ml.py',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe',''); QuarantineFile('C:\Users\Андрей\AppData\Roaming\PBot\ml.py',''); ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "swEXT" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "swEXT2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{89482DDD-4056-474F-90C4-A92773D5AFC5}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{F6C4BB89-A222-4A84-BEE3-767FF6E77699}" /F', 0, 15000, true); DeleteFile('C:\Users\Андрей\AppData\Roaming\PBot\ml.py','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\SafeWeb\ml.py','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\swEXT\ml.py','32'); DeleteFile('D:\programs\lazarus\lazarus.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','swEXT'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Aduk Опубликовано 9 декабря, 2016 Автор Опубликовано 9 декабря, 2016 Ответ: Re: quarantine.zip [KLAN-5472271061]...No malware detected in files:lazarus.exe ----------- AdwCleaner запустил, отчет прикрепляю. Пока все по-прежнему. Плагин в Хроме восстанавливается при запуске браузера, троян Win32/AgentBypass.gen!G ловится после каждой перезагрузки. AdwCleanerS0.txt
Sandor Опубликовано 10 декабря, 2016 Опубликовано 10 декабря, 2016 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Aduk Опубликовано 11 декабря, 2016 Автор Опубликовано 11 декабря, 2016 Готово. AdwCleanerC3.txt FRST.txt Addition.txt Shortcut.txt
Sandor Опубликовано 11 декабря, 2016 Опубликовано 11 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PBot.lnk [2016-12-07] ShortcutTarget: PBot.lnk -> C:\Users\Андрей\AppData\Roaming\PBot\python\pythonw.exe (No File) Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeWeb.lnk [2016-12-07] ShortcutTarget: SafeWeb.lnk -> C:\Users\Андрей\AppData\Roaming\SafeWeb\python\pythonw.exe (No File) Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\swEXT.lnk [2016-12-07] ShortcutTarget: swEXT.lnk -> C:\Users\Андрей\AppData\Roaming\swEXT\python\pythonw.exe () BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-841106915-3809750941-2404185512-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B6CC55739-2985-4755-B029-8DE94560AE7B%7D&gp=820332 CHR Extension: (No Name) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\alelhddbbhepgpmgidjdcjakblofbmce [2015-04-28] CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09] CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07] CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09] CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-09] CHR Extension: (Fast search) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07] OPR Extension: (Fast search) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-07] 2016-12-09 22:49 - 2016-12-09 22:49 - 00000001 _RHOT C:\Users\Андрей\AppData\Roaming\PBot 2016-12-07 22:11 - 2016-12-07 22:40 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\swEXT 2016-12-07 22:11 - 2016-12-07 22:11 - 04200395 _____ C:\Users\Андрей\AppData\Roaming\swEXT.exe 2016-12-07 22:11 - 2016-12-07 22:11 - 00000040 _____ C:\Users\Андрей\AppData\Roaming\swEXT.exe.sha1 AlternateDataStreams: C:\Users\Андрей\Desktop\1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\Андрей\Desktop\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Андрей\Desktop\11.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\Андрей\Desktop\11.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Андрей\Desktop\детектив хагел.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\Андрей\Desktop\детектив хагел.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Андрей\Desktop\зоя.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\Андрей\Desktop\зоя.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Андрей\Desktop\Шерилконец.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\Андрей\Desktop\Шерилконец.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Aduk Опубликовано 12 декабря, 2016 Автор Опубликовано 12 декабря, 2016 Готово. Все чисто, спасибо! Fixlog.txt
Sandor Опубликовано 12 декабря, 2016 Опубликовано 12 декабря, 2016 В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Sandor Опубликовано 12 декабря, 2016 Опубликовано 12 декабря, 2016 --------------------------- [ OtherUtilities ] ---------------------------- Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком. --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ ---------------------------- [ UnwantedApps ] ----------------------------- Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти