Перейти к содержанию

Максим Силенко

Рекомендуемые сообщения

Поймал адвейр на ноутбук.

 

Наблюдения (в подробностях): при запуске ноутбука все программы своевольно включаются в автозагрузку, отключение ничего не дает, после рестарта ОС всё по новому. Это навело меня на мысль что я что-то поймал, и да, действительно... Использую Windows 10 и соответственно браузер по умолчанию Microsoft Edge, при запуске последнего вместо него запускался Google Chrome сомнительного происхождения (у меня данного браузера на ноуте не было), вместо стандартного окна вкладок в этом "хроме" был открыт вирусный сайт, а вместо логотипа Google - куча рекламы. Проверил в диспетчере процесс "хрома" вывел меня в AppData в папку с этим по, я её удалил (через Shift+Del) в надежде что проблема решится, но нет. Автозагрузка по прежнему ведет себя своевольно, а при запуске Microsoft Edge уже "хром" не появляется, но и сам Edge тоже молчит. Думаю эта штуковина в реестр прописалась где-то, но опыта редактирования реестра маловато, не хочу намудрить.

 

Суть (коротко): на компьютере установилось рекламное ПО, не дающее мне использовать браузер Microsoft Edge, запуская вместо него "левый" браузер. Запускается этот "адвейр" через автозагрузку, как я понял, так как при старте ОС все программы начали загружаться. Просканировал компьютер вашей утилиткой Kaspersky Virus Removal Tool - угроз не было обнаружено. А вот когда создавал вам логи, AutoLogger что-то подметил.

 

 

Гуру безопасности, буду очень признателен вам за помощь.

post-44215-0-79443900-1487334690_thumb.png

CollectionLog-2017.02.17-14.06.zip

Изменено пользователем Максим Силенко
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji');
 QuarantineFile('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji','');
 TerminateProcessByName('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe');
 QuarantineFile('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe','');
 DeleteFile('c:\users\bak_user\appdata\roaming\microsoft\taskmgr\taskmgr.exe','32');
 DeleteFile('C:\Users\bak_user\AppData\Roaming\Microsoft\taskmgr\win64\data01.vji','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2508583585-234582958-4288314232-1002\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4673304 2016-11-11] (Microsoft Corporation) <==== ATTENTION
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\bak_user\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\bak_user\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
Task: {0C4083BE-23A1-4197-A351-0EF0C423FEEB} - \Phoenix Browser Updater -> No File <==== ATTENTION
c:\users\bak_user\appdata\roaming\microsoft\taskmgr
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Ссылка на комментарий
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 17.02.2017 21:10:17
Path starting: C:\Users\bak_user\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Maksym Silenko
VersionXML: 3.92is-14.02.2017
___________________________________________________________________________
Windows 10(6.3.14393) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 30.08.2016 10:56:51
Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 250041 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 250041 мин.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [99.3 Гб] Занято: [39.8 Гб] Свободно: [59.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.447.14393.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java SE Development Kit 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.221
Adobe Flash Player 24 PPAPI v.24.0.0.221
------------------------------- [ Browser ] -------------------------------
Opera Stable 43.0.2442.806 v.43.0.2442.806
--------------------------- [ RunningProcess ] ----------------------------
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.479
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alandish
      От alandish
      Здравствуйте.

      Довольно давно уже я обратил внимание, что система работает медленнее, но не придавал этому значения.
      А на днях совершенно неожиданно в моих наушниках раздался голос постороннего человека. Из программ были открыты только telegram (в трее) и браузер с единственной вкладкой хорошо знакомого мне сайта. На пролезшую рекламу голос был не похож.
       
      В установленных приложениях обнаружил программу Remote Desktop Connection, возможно прилетела с одним из обновлений Windows. Эту программу я удалил.
       
      Из другого, заметил в Event Viewer-е что журнал приложений очищен до даты когда раздался голос, а системные процессы svchost.exe MpDefenderCoreService.exe MsMpEng.exe устанавливают соединение с ip-адресами, имеющими негативный рейтинг на virustotal и которые находятся в базе abuseipdb, такими как    224.0.0.252    239.255.255.250    52.113.194.132    204.79.197.203
       
      Помогите пожалуйста разобраться, установлено ли вредоносное ПО на моём компьютере.
      CollectionLog-2024.05.29-15.10.zip
    • NNN123
      От NNN123
      Здравствуйте. Собственно, решила установить пиратскую версию игры. В первый день, когда я это сделала, нашла в отчётах что Касперский обнаружил и (!)остановил(!) загрузку not-a-virus:HEUR:AdWare.Script.Generic. Продолжила эпопею с установкой, использовала Google Chrome с расширениями с блокировкой рекламы и VPN, отключала защиту Касперского. Установила что было нужно, включила защиту и потом заметила, что Касперский начал блокировать какие-то рекламные баннеры (преимущественно что-то связанное с Яндекс.Дзеном) и объекты веб-контента, когда я захожу и делаю какие-либо действия в браузере, (сейчас сижу только с одного — Microsoft Edge, никаких расширений на нём нет. Главная страница у меня теперь отображается Яндекс), при этом, не выявляя никаких угроз. Проверяла с помощью Kaspersky Virus Removal Tool и, на всякий случай, Dr.Web CureIt!, тоже ничего не обнаружили. Может быть, я зря беспокоюсь и у меня ничего нет, а так и должно быть? Я пыталась сама решить эту проблему и даже делала откат системы на день назад, когда только первые файлы игры установила, ни к каким результатам не пришла. Прошу помощи, совета, мнения со стороны, что это такое и нормально ли это. Благодарю за уделённое внимание.
       

      CollectionLog-2024.05.09-20.48.zip
×
×
  • Создать...