Нет уверенности в чистоте ПК после лечения.

[v431]

Здравствуйте!

Удаленно лечу ПК родственников после заражения. Trial-версия KIS провела лечение, но у меня все еще есть сомнения, т.к.: 

Internet Explorer открывается и тут же закрывается а также проблемы с установкой обновлений.

Обращаюсь за помощью, архив AutoLogger'а прилагаю.

 

 

 

CollectionLog-2017.05.19-10.41.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\макс\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Users\макс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', '');
 QuarantineFile('C:\Users\макс\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('c:\users\макс\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\ml.py', '');
 QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\app.py', '');
 QuarantineFile('C:\Users\макс\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5B7Q7X1\SharemanSetup.exe', '');
 QuarantineFile('C:\Users\макс\appdata\locallow\searchgo\searchgo.dll', '');
 QuarantineFileF('c:\users\ef4f~1\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\макс\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\users\макс\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\ml.py', '32');
 DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\app.py', '32');
 DeleteFile('C:\Users\макс\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5B7Q7X1\SharemanSetup.exe', '32');
 DeleteFile('C:\Users\макс\appdata\locallow\searchgo\searchgo.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{17476150-72C7-4B15-8CD1-4CD1D87D213A}" /F', 0, 15000, true);
 DeleteFileMask('c:\users\ef4f~1\appdata\roaming\aswast', '*', true);
 DeleteFileMask('c:\users\макс\appdata\locallow\searchgo', '*', true);
 DeleteDirectory('c:\users\ef4f~1\appdata\roaming\aswast');
 DeleteDirectory('c:\users\макс\appdata\locallow\searchgo');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rgfubonbda');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aswast', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[v431]

1. ссылка после загрузки карантина virusinfo_auto_МАКС-ПК.zip

http://virusinfo.info/virusdetector/report.php?md5=3D93ABDDD1FD72B2F4D08E737EEF7A6A

 

2. ответ от <newv....@kaspersky.com>

Re: quarantine.zip из папки AVZ [KLAN-6264562088]

 

--------------------------------------------------------------------------------

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

Интернет.url

Yаndех (2).lnk

Вoйти в Интeрнeт.lnk

bcqr00001.dat

bcqr00002.dat

bcqr00003.dat

bcqr00004.dat

bcqr00005.dat

bcqr00006.dat

 

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:

searchgo.dll - not-a-virus:AdWare.Win32.Agent.kcwn

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

        

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700 

http://www.kaspersky.comhttp://www.viruslist.com"

 

--------------------------------------------------------------------------------

 

3. Отчёт о работе  лог Check_Browsers_LNK.log на утилиту ClearLNK — в аттаче. 

 

4. Для повторной диагностики запустите снова Autologger — в аттаче - CollectionLog-2017.05.19-20.03.zip

 

5. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. — в аттаче CollectionLog-2017.05.19-20.28.zip

 

6. C:\AdwCleaner\AdwCleaner[s0].txt — в аттаче.

ClearLNK-19.05.2017_19-34.log

CollectionLog-2017.05.19-20.03.zip

CollectionLog-2017.05.19-20.28.zip

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[v431]

Отчет AdwCleaner 

Когда утилиты сканировали, они сообщали что должен открыться браузер (IE в данном случае) и его необходимо свернуть.

Вместо этого, окно браузера IE открывалось, но тут же мгновенно закрывалось.

 

Ничего не изменилось и сейчас, после сканирования и очистки (и последующей перезагрузки) AdwCleaner.

Окно браузера IE открывается, но тут же закрывается.

AdwCleanerC0.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

Свежий лог Autologger-а сделайте.

[v431]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Сделано.

 

Свежий лог Autologger-а сделайте.

Сделал. В аттаче.

 

 

Internet Explorer все равно, открывается и тут же закрывается.

И с аддонами, и без аддонов.

CollectionLog-2017.05.22-17.05.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk', '');
 DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk');
 DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk');
CreateQurantineArchive(GetAVZDirectory+'dom.ru.zip');
end.

 - Файл dom.ru.zip из папки AVZ прикрепите к своему следующему сообщению.
 

Изменено 22 мая, 2017 пользователем regist

[v431]

Здравствуйте!

dom.ru.zip

[regist]

Попробуйте временно файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk

Переименовать к примеру в

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk.bak

и проверить проблему.
 
Если останется, то опишите подробней. IE открывается при включение ПК или когда ? И т.д.

[v431]

Попробуйте временно файл

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk

Переименовать к примеру в

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk.bak

и проверить проблему.

 

Вы его подозреваете?

Этот ярлык поместил в автозагрузку я, собственноручно. Он подключает PPPOE интернет и ведет вот на это подключение:

 

Если его нет в автозагрузке - у меня нет удаленного доступа к компьютеру после перезагрузки,

так как на этот ярлык необходимо каждый раз кликать чтобы включить интернет.

 

Если останется, то опишите подробней. IE открывается при включение ПК или когда ? И т.д.

IE я пытался открыть сам. Кликом на его ярлыках в Program - он запускался, но и тут же закрывался.

Впрочем, сейчас зашел FAR'ом в C:\Program Files\Internet Explorer\iexplore.exe

попробовал запустить exe напрямую - и он запустился. После этого кликнул по ярлыку в Start Menu, и о чудо,

IE запустился и не закрылся.

 

Итого, проблема, кажется, решена.

Вирусов же больше нет? Я включил автоматическое обновление системы и сижу жду, когда она обновится.

Что еще можно сделать?

[regist]

@v431, я немного запутался, проблема в чём была? В том что он закрывался после запуска? Я так понял, что он вас самостоятельно без спросу открывался и уже потом  сам закрывался. Вирусов да больше не видно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[v431]

@v431, я немного запутался, проблема в чём была? В том что он закрывался после запуска? Я так понял, что он вас самостоятельно без спросу открывался и уже потом  сам закрывался. Вирусов да больше не видно.

 

Нет, вы неверно поняли. Бразуер IE сам не открывался, его не открывал никакой вирус.

Браузер IE открывал я сам, кликая на его ярлыке. Кроме этого, его открывает сборщик логов.

Проблема была в том, что браузер открывался, но тут же мгновенно закрывался.

Но эта проблема ушла, сейчас всё нормально.

 

В общем, наша эпопея подошла к концу. Компьютер работает.

Большое вам спасибо.