Вирусы

[Sandor]

Следующую рекомендацию выполните в безопасном режиме.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.9 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v388c
  BREG
  zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\PRO141BADEA-873F-4D29-989C-A4C462A79A26.EXE
  bl 47F40568CFFB31C78AB521DEFDBCF7BB 230400
  addsgn 1A477C9A5583C28CF42BFB3A8895FBC6D37503CD847E6F3B8531B0BEA21583A5061AC357F202CB1A187F0FDB6202423A00CBAFF901FEA0DBF5807EAC1F06AB37 8 AdWare.Win32.ConvertAd.bxsv [Kaspersky]
  
  zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\KNSFF94.TMP
  bl D8AD61DD9A32A8D133DF0BE714EABE3C 545280
  addsgn 1A6F729A5583C28CF42B95BCB0D85A05D7FFFE044A08F68083C3C54375B6C30A239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 64 AdWare.Win32.Generic [Kaspersky]
  
  zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
  bl E92C1F9DFA432974A623FCC77EB4D134 50888
  addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web
  
  zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
  bl 24B8B242995E72635890D4EEAF9DBFE0 633856
  delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
  zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
  bl 255EC811D69203288AAE136AA71ED293 145408
  delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
  zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
  bl 1C5F8633E5839CA74053D5316017CF20 837120
  delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
  chklst
  delvir
  
  deltmp
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

В обычном режиме повторите образ автозапуска uVS для контроля.

[Максимовна]

"В обычном режиме повторите образ автозапуска uVS для контроля" -  Отправила файл письмом, сообщением не получилось. Ещё повторила образ uVS для контроля. Теперь ждать результатов проверки в лаборатории? 

[Sandor]

ждать результатов проверки в лаборатории?

Подразумевалось повторить лог uVS (как в сообщении №14) и прикрепить здесь.

[Максимовна]

НАТАША-ПК_2017-02-14_19-39-30.7z

[Sandor]

В обычном режиме:

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.9 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v388c
  BREG
  zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
  bl E92C1F9DFA432974A623FCC77EB4D134 50888
  addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web
  
  delall %Sys32%\BI3.EXE
  delref HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=WDCXWD3200LPCX-24C6HT0_WD-WX41AB3V8745V8745&V=2017214
  delref HTTP://WWW%2DSEARCHING.COM/?PRD=SET_EPF&S=H2EZTRMBL10BU,C61D1DC8-FC4C-4743-8460-4F7AFF04B0FC,
  zoo %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
  bl 672F9DFAB8F6B53ED8677148DE9435F1 1023944
  delall %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
  zoo %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
  bl 7BF3C54F6D4DC3E7AD812C9B5CD208FF 403
  delall %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
  zoo %SystemDrive%\PROGRAMDATA\SMP2.EXE
  bl A2384665E0811BCC6175E5D14EE0A34E 326144
  delall %SystemDrive%\PROGRAMDATA\SMP2.EXE
  zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
  bl CB17E6EB1C8916176137C5AA207BDAC6 3110400
  delall %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
  delall %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\BROWSERAIR\48.0.0.0\UPDATER.EXE
  chklst
  delvir
  
  czoo
  restart
  
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Еще раз, пожалуйста, повторите лог uVS.

[Максимовна]

НАТАША-ПК_2017-02-14_21-28-10.7z

[Sandor]

Еще немного

 

В безопасном режиме(!) выполните:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Повторите свежие логи FRST (FRST.txt и Addition.txt) в обычном режиме.

Изменено 14 февраля, 2017 пользователем Sandor

[Максимовна]

Fixlog.txt

FRST.txtAddition.txt

[Sandor]

В логах порядок. Как внешне?

[Максимовна]

 В целом всё стало нормально. Но при архивации документа архивируется не понятно в какой программе

[Sandor]

Сделайте еще раз лог сканирования AdwCleaner.

[Максимовна]

AdwCleanerS0.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Максимовна]

AdwCleanerC0.txt

[Sandor]

И еще контрольный CollectionLog с помощью Автологера, пожалуйста.