catbua Опубликовано 7 января, 2017 Опубликовано 7 января, 2017 С периодичностью 23 минуты открывается IE8 с рекламой электронного казино. Произведено лечение антивирусными сканерами Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt. Для поиска вредоносного ПО использовались spyhunter_4_14_5_4268 и adwcleaner_6.041, а также AVZ. Удивительный для меня факт: реклама запускается в расчётное время даже в процессе сканирования системы spyhunter-ом, в то время как запустить диспетчер задач или редактор реестра spyhanter не позволяет. Заражение видимо произошло вместе с установкой набора "амиго, ОК, VK, поиск mail.ru и т.п.". Весь этот мусор был удалён при помощи Revo Uninstaller. Поиск вирусов при помощи загрузочного диска kaspersky желаемого результата тоже не дал. ОС - Win 7 максимальная 64. Антивирус Касперского 6.0.4. CollectionLog-2017.01.07-17.24.zip
Sandor Опубликовано 7 января, 2017 Опубликовано 7 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('schtasks.exe', '/delete /TN "mans-find" /F', 0, 15000, true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Компьютер перезагрузится. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Антивирус Касперского 6.0.4Безнадежно устаревшая и не поддерживаемая версия.
catbua Опубликовано 9 января, 2017 Автор Опубликовано 9 января, 2017 Здравствуйте sandor!Благодарю вас за участие! Не могли бы Вы указать буквально адрес по которому прописалась эта программа, очень интересно посмотреть её файловый вид. Подозреваю, что она поселилась в пользовательских папках закрытых системой, скорее всего в директории Documents and Settings?
Sandor Опубликовано 9 января, 2017 Опубликовано 9 января, 2017 Вы скрипт выполнили? Где повторный отчет?
catbua Опубликовано 9 января, 2017 Автор Опубликовано 9 января, 2017 Вы скрипт выполнили? Где повторный отчет? CollectionLog-2017.01.09-16.07.zip
Sandor Опубликовано 9 января, 2017 Опубликовано 9 января, 2017 (изменено) Подозреваю, что она поселилась в пользовательских папках закрытых системойЭто было вредоносное назначенное задание. O22 - ScheduledTask: (Ready) mans-find - {root} - "C:\Program Files\Internet Explorer\iexplore.exe" http://mans-find.org/glamesm Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Изменено 9 января, 2017 пользователем Sandor
catbua Опубликовано 9 января, 2017 Автор Опубликовано 9 января, 2017 Подозреваю, что она поселилась в пользовательских папках закрытых системойЭто было вредоносное назначенное задание. O22 - ScheduledTask: (Ready) mans-find - {root} - "C:\Program Files\Internet Explorer\iexplore.exe" http://mans-find.org/glamesm Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. SecurityCheck.txt
Sandor Опубликовано 9 января, 2017 Опубликовано 9 января, 2017 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба остановлена Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления 7-Zip 9.38 (x64 edition) v.9.38.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^ Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter v.4.14.5.4268 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611 - версия устарела и больше не поддерживается. Обновите до KES10. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1
catbua Опубликовано 9 января, 2017 Автор Опубликовано 9 января, 2017 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба остановлена Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления 7-Zip 9.38 (x64 edition) v.9.38.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^ Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.1 - Russian v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC. ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter v.4.14.5.4268 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611 - версия устарела и больше не поддерживается. Обновите до KES10. Прочтите и выполните Рекомендации после удаления вредоносного ПО Огромное спасибо за помощь! Заражение произошло в результате запуска файла с именем: asia rocsta vnedorognik otkrytyj repair manual pdf, на сайте источнике: https://alnw.ru/manuals_2348.html, содержалось пояснение: "Файлы большого размера (прошивки, драйверы, мануалы, медиаконтент) могут загружаться при помощи специального загрузчика, который Вы скачиваете и запускаете на Вашем компьютере. Это сделано для возможности докачки файлов при разрыве интернет соединения."
Sandor Опубликовано 9 января, 2017 Опубликовано 9 января, 2017 при помощи специального загрузчикаДелайте выводы Удачи!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти