Вирусы

[Максимовна]

    Не знаю где сегодня поймали на комп. кучу троянов. Проверили утилитой "доктор Веб" . Утилита обнаружила 193 угрозы. Компьютер вылечил. При повторной проверке,  угроз не обнаружено. После перезагрузки компьютера сразу же выскакивает программа, которая на скриншоте.При попытке загрузки AutoLogger появляются иероглифы, скачивать не стали.

[Sandor]

Здравствуйте!

 

При попытке загрузки AutoLogger появляются иероглифы, скачивать не стали.

И все же загрузите и соберите комплект логов. Изменено 13 февраля, 2017 пользователем Sandor

[Максимовна]

CollectionLog-2017.02.13-20.59.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

trotux - Uninstall

youndoo - Uninstall

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\pro141badea-873f-4d29-989c-a4c462a79a26.exe');
 TerminateProcessByName('c:\windows\temp\62cc.tmp');
 TerminateProcessByName('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\kns141badea-873f-4d29-989c-a4c462a79a26.tmpfs');
 StopService('bifufeku');
 StopService('serverss');
 StopService('serverws');
 QuarantineFile('C:\Users\Наташа\appdata\roaming\gplyra\gplyra.exe','');
 QuarantineFile('C:\Program Files (x86)\Plelage\pergsh.exe','');
 QuarantineFile('C:\Users\Наташа\AppData\Roaming\Event Monitor\em.exe','');
 QuarantineFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\Plelage\Mwpcln.dll','');
 QuarantineFile('C:\Program Files (x86)\DiskP\4L5DK.exe','');
 QuarantineFile('C:\Windows\system32\drivers\lvcgwflx.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ljcycfej.sys','');
 QuarantineFile('C:\Windows\system32\drivers\iguoxoxr.sys','');
 QuarantineFile('C:\Windows\system32\drivers\dkqbicyy.sys','');
 QuarantineFile('C:\ProgramData\Zaamla\Zaamla.exe','');
 QuarantineFile('C:\ProgramData\Utatity\Utatity.exe','');
 QuarantineFile('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\pro141badea-873f-4d29-989c-a4c462a79a26.exe','');
 QuarantineFileF('c:\users\наташа\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\windows\temp\62cc.tmp', '');
 QuarantineFile('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\kns141badea-873f-4d29-989c-a4c462a79a26.tmpfs', '');
 QuarantineFile('C:\Windows\Temp\A70D.tmp', '');
 QuarantineFile('C:\Windows\Temp\A6F2.tmp', '');
 QuarantineFile('C:\Windows\Temp\00021140\msiql.exe', '');
 QuarantineFile('C:\Users\Наташа\AppData\Local\Hostinstaller\1677966429_monster.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soiphhehsy Client" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\pro141badea-873f-4d29-989c-a4c462a79a26.exe','32');
 DeleteFile('C:\ProgramData\Utatity\Utatity.exe','32');
 DeleteFile('C:\ProgramData\Zaamla\Zaamla.exe','32');
 DeleteFile('C:\Windows\system32\drivers\dkqbicyy.sys','32');
 DeleteFile('C:\Windows\system32\drivers\iguoxoxr.sys','32');
 DeleteFile('C:\Windows\system32\drivers\ljcycfej.sys','32');
 DeleteFile('C:\Windows\system32\drivers\lvcgwflx.sys','32');
 DeleteFile('C:\Program Files (x86)\DiskP\4L5DK.exe','32');
 DeleteFile('C:\Program Files (x86)\Plelage\Mwpcln.dll','32');
 DeleteFile('C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll','32');
 DeleteFile('C:\Users\Наташа\AppData\Roaming\Event Monitor\em.exe','32');
 DeleteFile('C:\Program Files (x86)\Plelage\pergsh.exe','32');
 DeleteFile('C:\Users\Наташа\appdata\roaming\gplyra\gplyra.exe','32');
 DeleteFile('c:\windows\temp\62cc.tmp', '32');
 DeleteFile('c:\program files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\kns141badea-873f-4d29-989c-a4c462a79a26.tmpfs', '32');
 DeleteFile('C:\Windows\Temp\A70D.tmp', '32');
 DeleteFile('C:\Windows\Temp\A6F2.tmp', '32');
 DeleteFile('C:\Windows\Temp\00021140\msiql.exe', '32');
 DeleteFile('C:\Users\Наташа\AppData\Local\Hostinstaller\1677966429_monster.exe', '32');
 DeleteService('lvcgwflx');
 DeleteService('ljcycfej');
 DeleteService('iguoxoxr');
 DeleteService('dkqbicyy');
 DeleteService('Zaamla');
 DeleteService('Utatity');
 DeleteService('bifufeku');
 DeleteService('serverss');
 DeleteService('serverws');
 DeleteFileMask('c:\users\наташа\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\наташа\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','90ZCIDJEUY');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Максимовна]

ClearLNK-13.02.2017_22-14.log

не могу запустить утилиту от имени администратора.

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
gplyra.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.btj

Вредоносные программы не найдены в файлах:
pergsh.exe
local64spl.dll
Mwpcln.dll

Программа Adware, предназначенная для показа рекламных сообщений, найдена в файлах
pro141badea-873f-4d29-989c-a4c462a79a26.exe - not-a-virus:AdWare.Win32.ConvertAd.bxsv
62cc.tmp - not-a-virus:HEUR:AdWare.Win32.ConvertAd.gen
msiql.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.[KLAN-5787662385]

AdwCleanerS0.txt

AdwCleanerC0.txt

ClearLNK-13.02.2017_22-14.log

Изменено 14 февраля, 2017 пользователем Максимовна

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Максимовна]

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Вчера мы ещё раз скачали эту программу и запустили сканирование. Нашлось 500 видимо опасных "вещей". Нажали очистить, вроде всё очистилось, но проблемы в ноуте остались. Постоянно открывается браузер, то Мазила, которую мы впоследствии удалили, теперь открывается IE и загружает какие-то вкладки. Сегодня просканировали опять доктор ВЕБ, нашлось 8 вирусов , вылечил только 7.Начали вручную удалять файлы созданные 13 февраля. Некоторые не удалились, т.к. вроде открыты в других приложениях. И уже два раза выскочило окно с иероглифами с нижнего правого угла монитора. 

Изменено 14 февраля, 2017 пользователем Максимовна

[Sandor]

@Максимовна, Вы, пожалуйста, определитесь - разбираетесь самостоятельно или выполняете рекомендации.

[Максимовна]

Да, будем строго выполнять, просто очень жутко.

Addition.txtFRST.txtShortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\Program Files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\knsBA3C.tmp
() C:\Program Files (x86)\UCBrowser\Application\UCService.exe
HKLM\...\Providers\g4b6fmpi: C:\Program Files (x86)\Soiphhehsy Client\local64spl.dll
ShellExecuteHooks: No Name - {7E8DA37A-ECD3-11E6-9EC2-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2017-02-13] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR DefaultSearchURL: Default -> hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDmJGXGEJKZp9UXZGrs7_s4QtJ_nG0HZvHLsTHQfI9cix8J8_cPzeqtUmhTVKJcXUnqvjDbNVd1ckBwzxXwnZxO4Wy41fpbLXzP_uk0XH6kfjwtfZj6Xa-LLSpOu23Owq1MBZ8gHvxrraUGv6AbwsOjw4nS&q={searchTerms}
CHR DefaultSearchKeyword: Default -> feed.sonic-search.com
CHR Profile: C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-14] <==== ATTENTION
CHR Extension: (Adblocker for Youtube™) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gjmlmdpjbllmjgmlnbgfndakgmmfpgao [2017-02-13]
CHR Extension: (Яндекс) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2017-02-13]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2017-02-07]
CHR Extension: (Mail.Ru) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2017-02-07]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Наташа\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjmlmdpjbllmjgmlnbgfndakgmmfpgao [2017-02-13]
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Наташа\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbomckfkgpfkhgcponiencnhemallhhh [2017-02-13]
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [930704 2017-01-18] ()
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
2017-02-14 11:33 - 2017-02-14 14:34 - 00000296 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2017-02-14 11:33 - 2017-02-14 11:33 - 00002564 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2017-02-14 11:28 - 2017-02-14 11:42 - 00000000 ____D C:\Users\Наташа\AppData\Roaming\KuaiZip
2017-02-13 13:32 - 2017-02-14 13:33 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2017-02-13 13:32 - 2017-02-13 19:38 - 00003436 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2017-02-13 13:31 - 2017-02-13 13:31 - 00000000 ____D C:\Users\Наташа\AppData\Local\UCBrowser
2017-02-13 13:24 - 2017-02-14 13:38 - 00000000 ____D C:\Program Files\їмС№
2017-02-13 13:24 - 2017-02-13 19:30 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-02-07 13:19 - 2017-02-07 13:19 - 00000000 ____D C:\Users\Наташа\AppData\Roaming\IObit
Task: {624FD805-447F-4149-96A5-6C6DA4DF20AE} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe  <==== ATTENTION
Task: {8D59563A-E76D-4D87-8880-80D29EA19EDB} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe  <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
2017-02-13 21:37 - 2017-02-13 21:37 - 00484352 _____ () C:\Program Files (x86)\141badea-873f-4d29-989c-a4c462a79a261486966868\knsBA3C.tmp
2017-02-13 13:31 - 2017-01-18 18:29 - 00930704 _____ () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
2017-02-13 13:25 - 2017-02-13 13:25 - 00524696 _____ () C:\Program Files\їмС№\X64\KZipShell.dll
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [371912]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218]
FirewallRules: [{F176D268-5D39-4729-B810-05419ADC701A}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{13EC411D-E42D-49E7-9F3A-56E05B534FF4}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Максимовна]

не могу запустить, может что неправильно сделала

[Sandor]

Поместите файл Fixlist.txt на Рабочий стол.

[Максимовна]

Fixlog.txt

[Sandor]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[Максимовна]

НАТАША-ПК_2017-02-14_18-23-27.7z