gabbhack 0 Опубликовано 19 февраля, 2017 Share Опубликовано 19 февраля, 2017 Все по дефолту. Софт mail.ru, бары и прочее. Все удалил, в том числе расширения. Каспер нашел парочку скриптов и вирусов, успешно удалил. Остались ссылки. CollectionLog-2017.02.19-14.08.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2017 Share Опубликовано 19 февраля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\nikita\AppData\Local\ScriptWriter\ScriptWriter.exe',''); QuarantineFile('C:\Users\nikita\AppData\Roaming\aswast\app.py',''); QuarantineFile('C:\ProgramData\uBar\uBar\uBar.exe',''); QuarantineFile('C:\Users\nikita\AppData\Roaming\aswast\ml.py',''); TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe'); TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe'); QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe',''); QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe',''); DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32'); DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32'); DeleteFile('C:\Users\nikita\AppData\Roaming\aswast\ml.py','32'); DeleteFile('C:\ProgramData\uBar\uBar\uBar.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','elxkllyopw'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceStream'); DeleteFile('C:\Users\nikita\AppData\Local\Amigo\Application\amigo.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); DeleteFile('C:\Users\nikita\AppData\Roaming\aswast\app.py','32'); DeleteFile('C:\WINDOWS\system32\Tasks\aswast2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\aswast','64'); DeleteFile('C:\Users\nikita\AppData\Local\ScriptWriter\ScriptWriter.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\ScriptWriter','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Цитата Ссылка на сообщение Поделиться на другие сайты
gabbhack 0 Опубликовано 20 февраля, 2017 Автор Share Опубликовано 20 февраля, 2017 (изменено) Скрипт выполнен, проблема не решена. Браузер все еще сам открывается вместе с рекламной ссылкой. Еще до выполнения скрипта опять откуда-то взялся mail.ru updater, хотя ничего не скачивалось. Такое окно вылезло после перезагрузки (по скрипту) А возле мышки постоянно крутится колесико, типа что то выполняется. В Диспетчере задач это system.exe нагружает процессор В письме: KLAN-5834374046 Thank you for sending a file for analysis to the Anti-Virus Lab. Kaspersky Anti-Virus has scanned files. Malicious application was detected in files: ScriptWriter.exe - HEUR:Trojan.Win32.Generic No malware detected in files: app.py ml.py Riskware application which may harm your computer was detected in files: zaxarloader.exe - not-a-virus:Downloader.Win32.ZxrLoader.el zaxargamebrowser.exe - not-a-virus:Downloader.Win32.ZxrLoader.el We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days. This is an automatically generated message. Please, do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Так же прилагаю новые логи CollectionLog-2017.02.20-09.16.zip Изменено 20 февраля, 2017 пользователем gabbhack Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 февраля, 2017 Share Опубликовано 20 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
gabbhack 0 Опубликовано 21 февраля, 2017 Автор Share Опубликовано 21 февраля, 2017 f.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2017 Share Опубликовано 21 февраля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-1106757301-2919737533-504865198-1001\...\Run: [explorer] => C:\Users\nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [8817462 2017-02-06] () HKU\S-1-5-21-1106757301-2919737533-504865198-1001\...\Run: [GoogleChromeAutoLaunch_850528626E5HFO8S7TEIWSFEC337D4CE6F2] => C:\Users\nikita\AppData\system32\explorer.exe [8817462 2017-02-06] () HKU\S-1-5-21-1106757301-2919737533-504865198-1001\...\Run: [Local Security Authority Proсess] => c:\WINDOWS\System32\system.VBS [118 2016-11-09] () Startup: C:\Users\nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk [2017-02-21] ShortcutTarget: System.lnk -> C:\Users\nikita\AppData\Local\Temp\RarSFX16\12.VBS () GroupPolicy: Restriction - Chrome <======= ATTENTION Startup: C:\Users\nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.exe [2017-02-06] () Startup: C:\Users\nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk [2017-02-19] ShortcutTarget: FlashPlayer.lnk -> C:\Users\nikita\AppData\Local\Temp\RarSFX5\1.VBS () CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms} CHR DefaultSearchKeyword: Default -> gosearch CHR Extension: (SearchWay) - C:\Users\nikita\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-02-19] CHR HKU\S-1-5-21-1106757301-2919737533-504865198-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1106757301-2919737533-504865198-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1106757301-2919737533-504865198-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1106757301-2919737533-504865198-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (SearchWay) - C:\Users\nikita\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-02-19] OPR Extension: (Trikupona) - C:\Users\nikita\AppData\Roaming\Opera Software\Opera Stable\Extensions\nhkchinogebbapokmlnfbfoglnonminm [2017-02-19] 2017-02-20 17:31 - 2016-11-09 22:45 - 00000082 _____ C:\WINDOWS\system32\system.bat 2017-02-20 17:31 - 2016-11-09 22:44 - 00000077 _____ C:\WINDOWS\system32\systems.bat 2017-02-20 17:31 - 2016-11-09 22:41 - 00332545 _____ C:\manualprofit.exe 2017-02-20 17:31 - 2016-11-09 20:31 - 00000118 _____ C:\WINDOWS\system32\system.VBS 2017-02-19 09:47 - 2017-02-19 09:47 - 00000000 ____D C:\Users\nikita\AppData\Local\ZaxarGameBrowser 2017-02-19 09:46 - 2017-02-20 08:56 - 00000000 ____D C:\Program Files (x86)\Zaxar 2017-02-19 09:46 - 2017-02-19 09:46 - 00000852 _____ C:\Users\nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk 2017-02-19 09:45 - 2017-02-20 09:00 - 00000000 ____D C:\Users\nikita\AppData\Local\Amigo 2017-02-19 09:44 - 2017-02-19 09:53 - 00003604 _____ C:\WINDOWS\System32\Tasks\httpnewscrensbonsorgylodem 2017-02-18 18:14 - 2017-02-18 18:14 - 00000773 _____ C:\Users\nikita\AppData\Local\uBar.lnk 2017-02-18 18:14 - 2017-02-18 18:14 - 00000000 ____D C:\Загрузки uBar 2017-02-18 14:47 - 2017-02-18 14:47 - 00000000 ____D C:\Users\nikita\AppData\Local\Вoйти в Интeрнет 2017-02-18 14:46 - 2017-02-20 08:56 - 00000000 ____D C:\Users\nikita\AppData\Roaming\aswast 2017-02-18 14:45 - 2017-02-18 14:45 - 00000331 _____ C:\Users\nikita\AppData\Local\expand.ini 2017-02-18 14:45 - 2017-02-18 14:45 - 00000000 ____D C:\Users\nikita\AppData\Local\Войны престолов 2017-02-18 14:44 - 2017-02-18 21:54 - 00000000 ____D C:\Users\nikita\AppData\Local\fupdate 2017-02-18 14:44 - 2017-02-18 14:44 - 00000000 ____D C:\Program Files (x86)\filter2 2017-02-18 14:44 - 2016-01-12 18:04 - 00059896 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\netfilter2.sys 2017-02-18 14:43 - 2017-02-20 08:53 - 00000000 ____D C:\Users\nikita\AppData\Local\ScriptWriter 2017-02-18 14:43 - 2017-02-18 21:54 - 00000000 ____D C:\Users\nikita\AppData\Local\SearchGo 2017-02-18 14:43 - 2017-02-18 14:43 - 00000000 ____D C:\Users\nikita\AppData\LocalLow\SearchGo 2017-02-18 14:42 - 2017-02-18 14:42 - 00000000 ____D C:\Users\nikita\AppData\Local\Поиcк в Интeрнете 2017-02-18 14:42 - 2017-02-18 14:42 - 2628885 ____N (Myotis) C:\Users\nikita\AppData\Local\Temp\0qx3h5KHIAdn.exe 2017-02-18 14:45 - 2017-02-18 14:45 - 0216576 ____N ( ) C:\Users\nikita\AppData\Local\Temp\1BShFCoIg7ql.exe 2016-12-01 19:55 - 2016-10-21 17:22 - 2187992 _____ (Mail.Ru) C:\Users\nikita\AppData\Local\Temp\1cce-7e38-fc70-bcee.exe 2017-02-18 14:40 - 2017-02-18 14:41 - 0399336 ____N (Mail.Ru) C:\Users\nikita\AppData\Local\Temp\1puF0829rxOu.exe 2017-02-18 14:44 - 2017-02-18 14:44 - 3292682 ____N () C:\Users\nikita\AppData\Local\Temp\8izS6w3nzhdg.exe 2013-08-05 11:15 - 2013-08-05 11:15 - 4292136 _____ (www.Bandisoft.com) C:\Users\nikita\AppData\Local\Temp\bdfilters.dll 2017-02-18 14:38 - 2017-02-18 14:38 - 3039448 ____N () C:\Users\nikita\AppData\Local\Temp\e28r0yjMG3xY.exe 2016-11-18 12:33 - 2016-11-18 12:33 - 0035680 _____ () C:\Users\nikita\AppData\Local\Temp\i4jdel0.exe 2017-02-20 18:06 - 2017-02-20 18:07 - 0266752 _____ () C:\Users\nikita\AppData\Local\Temp\kernelworker.dll 2017-02-18 14:46 - 2017-02-18 14:46 - 3844157 ____N () C:\Users\nikita\AppData\Local\Temp\lO60EW307XfZ.exe 2017-02-14 13:25 - 2017-02-15 09:41 - 0179840 _____ () C:\Users\nikita\AppData\Local\Temp\mcse32_00.dll 2017-02-14 13:25 - 2017-02-15 09:41 - 0197760 _____ () C:\Users\nikita\AppData\Local\Temp\mcse64_00.dll 2017-02-18 14:39 - 2017-02-18 14:39 - 1769509 ____N () C:\Users\nikita\AppData\Local\Temp\MqYprpPmPpTB.exe 2017-02-18 18:14 - 2017-02-18 18:14 - 0181544 _____ () C:\Users\nikita\AppData\Local\Temp\ubar-yadownloader.exe 2017-02-18 14:43 - 2017-02-18 14:43 - 0415232 ____N (Searchgo) C:\Users\nikita\AppData\Local\Temp\W03wIom5YwPl.exe Task: {4DE84C79-1E0D-4E8B-9832-F7F18C52B410} - System32\Tasks\httpnewscrensbonsorgylodem => Firefox.exe hxxp://newscrensbons.org/ylodem Task: {6F4355B2-8C6A-4326-9033-EAC9C11B1417} - \ScriptWriter -> No File <==== ATTENTION Task: {80D0C93C-1AAE-4C7C-9CD0-3E32C877FF0D} - \aswast -> No File <==== ATTENTION Task: {84255273-C63C-4C67-BA00-0A84FF7F22AA} - \fupdate -> No File <==== ATTENTION Task: {90A2D2A0-6E63-44EE-941C-23909FEB5DC1} - \SearchGo Task -> No File <==== ATTENTION Task: {EF4E08B1-A767-4AE0-9E2E-B319D293D300} - \aswast2 -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
gabbhack 0 Опубликовано 21 февраля, 2017 Автор Share Опубликовано 21 февраля, 2017 Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2017 Share Опубликовано 21 февраля, 2017 Проблема решена? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gabbhack 0 Опубликовано 21 февраля, 2017 Автор Share Опубликовано 21 февраля, 2017 да! большое спасибо) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 21 февраля, 2017 Share Опубликовано 21 февраля, 2017 Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.