Перейти к содержанию

Борюсь с остатками вирусной атаки


Владимир М2017

Рекомендуемые сообщения

Здравствуйте!

Когда мой ПК 3 февр 2017 перестал загружаться, мастер из фирмы переустановил Вин 8.1. и поставил Eset Smart Security 6, хотя я до этого пользовался официальной бесплатной версией антивируса Касперского, скачанной у Вас.

 

Потом мой ПК подцепил вирус "www-searching.com", который начал быстро загружать много окон. Гугл Хром перестал загружаться. Открыв Интернет Эксплорер, я зашёл на Ваш форум и почитал ветку про аналогичную проблему. Понял, что избавиться от этой напасти будет непросто и придётся использовать несколько антивирусных программ.

Скачал себе Malwarebytes Premium и AdwCleaner 6.043  Они помогли справится с наплывом окон, Гугл Хром снова стал загружаться, но вирусы в ПК ещё остались.

 

Сегодня я начал процедуру описанную на странице Вашего Форума "Порядок оформления запроса о помощи":

 

- установил и запустил Kaspersky Virus Removal Tool 2015.

Он отловил и нейтрализовал 5 всяких вредностей.

 

- Скачал и запустил актуальную версию автоматического сборщика логов

http://safezone.cc/resources/autologger-regist-drongo.59/, но  zip-архив с собранными логами в папке не возник.
Возможно, я сбил процесс, когда попытался свернуть в треш окно ГуглХрома, открытое Сборщиком Логов. ПК перезагрузился и затих, zip-архив в папке Сборщика Логов не появился.
 
Я хотел запустить сборщик логов вторично, но решил сначала посоветоваться с Вами. 
 

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Да, пробуйте повторно. Если опять не получится, сообщите.

Здравствуйте, Sandor! Спасибо за быстрый отклик. При повторной попытке, всё прошло гладко. Высылаю зип-архив из папки Сборщика Логов.

Сам архив, во вложение к этому посту, - не поместился, высылаю скриншот ответа программы Форума.

post-44053-0-23162000-1486642179_thumb.png

Изменено пользователем Владимир М2017
Ссылка на сообщение
Поделиться на другие сайты

Вы пытались загрузить сам упакованный Автологер. А нужен созданный им архив вида CollectionLog.zip (в имени присутствует также дата и время создания)

Как правило, этот архив не превышает нескольких десятков килобайт.

Ссылка на сообщение
Поделиться на другие сайты

Вы пытались загрузить сам упакованный Автологер. А нужен созданный им архив вида CollectionLog.zip (в имени присутствует также дата и время создания)

Как правило, этот архив не превышает нескольких десятков килобайт.

Рассеянность меня погубит ) Посылаю нужный архив )

CollectionLog-2017.02.09-14.47.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\user\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\User\AppData\Roaming\SafeWeb\python\pythonw.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\SafeWeb\ml.py', '');
 QuarantineFile('c:\program files (x86)\clugokftgh\serwleprolerieddbg.dll','');
 ExecuteFile('schtasks.exe', '/delete /TN "Qahight" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Clugokftgh\serwleproleriedDbg.dll','32');
 DeleteFile('C:\Users\User\AppData\Roaming\SafeWeb\python\pythonw.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFileMask('c:\users\user\appdata\roaming\safeweb', '*', true);
 DeleteDirectory('c:\users\user\appdata\roaming\safeweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Sandor, всё сделал по Вашей инструкции. Вот архив и отклик newvirus@kaspersky.com 
[KLAN-5764844963][/size]
 
Жду Вашего ответа.
 
Ещё такой вопрос: когда мой ПК был заражен, я подключал к нему переносные винчестеры, флешки и мобильник. 
Их теперь тоже надо все перепроверить антивирусами?
 
Eset Smart Security 6, который мне поставил компьютерный мастер, на поверку оказался каким-то сильно битым, я бы даже сказал: "крякнутым": всё время пребывает в красном цвете спектра. Номер лицензии мастер, естественно, мне не сообщил )
Хочу вернуться в АВ Касперский-фри. 

 

Сейчас подумал, что и относительно вин8 полной уверенности нет... ((
 

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.[/size]

Антивирус Касперского проверил файлы.[/size]

Вредоносные программы не найдены в файлах:[/size]
serwleprolerieddbg.dll[/size]

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.[/size]

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.[/size]

Антивирусная Лаборатория, Kaspersky Lab HQ[/size]

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте quarantine.zip на форум.
 

Mark D. Pearlstone, прошу прощения за нарушение правил и благодарю за то, что меня остановили. 

Как мне переправить quarantine.zip консультанту?

PS Когда писал этот вопрос Вам, в ответ на предупреждение, нечаянно как-то изменился текст Вашего предупреждения :(

Изменено пользователем Владимир М2017
Ссылка на сообщение
Поделиться на другие сайты

Как мне переправить quarantine.zip консультанту?

Вам написали куда отправить файл. Будьте внимательны.
Ссылка на сообщение
Поделиться на другие сайты

 

Как мне переправить quarantine.zip консультанту?

Вам написали куда отправить файл. Будьте внимательны.

 

Да, опять перепутал, вот ведь! ... рассеянность.

Так стараюсь всё сделать правильно и проколы - на каждом шагу ...   :(

Вот правильный отчёт, который надо было прикрепить к письму

AdwCleanerS3.txt

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellExecuteHooks: No Name - {DC988DE4-DE48-11E6-9583-64006A5CFC23} - C:\Users\User\AppData\Roaming\Rerbadomatuvety\Reedgh.dll -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Profile: C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-07] <==== ATTENTION
CHR Extension: (Fast search) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-02-07]
FirewallRules: [{92B4978A-61C3-427D-AA2D-24789F91302E}] => C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Что из проблем сейчас осталось?

Sandor, признаков вирусной активности больше нет. Огромное Вам спасибо!

Хотел бы получить Ваш совет по поводу действий, которые собираюсь предпринять:

1. Дезинсталировать сомнительную версию Eset Smart Security 6, попавшую мне на комп от

недобросовестного компьютерного мастера.

2. Установить АВ Касперского фри

3. Проверить на наличие вирусов:

- свой мобильник,

- все свои флешки,

- оба своих внешних жестких диска,

- ноубук, который офлайн, но имел контакты с основным ПК через записи с флешек

4. Поменять пароли на всех своих аккаунтах в инете; 

5. Более регулярно сохранять ценный для меня контент, перенося его с ПК на DVD,

6. Распечатать с Вашего сайта советы по компьютерной безопасности и повесить их

у себя над рабочим столом )

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...