Заражение?

[gazza]

Здравствуйте. Посмотрите, пожалуйста, логи. Малой племянник у себя на компе бардак развел.

 

 

KasperFREE (файловый антивирус) сам нашел какой-то зараженный ununstall.exe и удалил.

 

Поэтому логи сделал заново. Прикрепляю новые логи.

CollectionLog-2017.07.12-12.50.zip

Изменено 12 июля, 2017 пользователем gazza

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics DiskDefrag

Calculator

Unity Web Player

YoutubeAdBlock

Кнопка "Яндекс" на панели задач

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (6).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (3).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Subway Surfers Вконтакте.lnk', '');
 QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk', '');
 QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\4ccca0dcef1bd5bd\Амиго.lnk', '');
 QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Жека\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Фисун\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Администратор\Desktop\впн\Hola\Opera 45.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera 45.lnk', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\checkers\draughts\draughts.exe','');
 QuarantineFile('c:\programdata\framework\windows driver.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\ProgramData\TFqQBVjwjI\DzXpgTVWXF2.bat', '');
 QuarantineFile('C:\Users\Администратор\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\daemon2.exe', '');
 QuarantineFileF('c:\users\836d~1\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\администратор\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 DeleteFile('c:\programdata\framework\windows driver.exe','32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\checkers\draughts\draughts.exe','32');
 DeleteFile('C:\Users\836D~1\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\ProgramData\TFqQBVjwjI\DzXpgTVWXF2.bat', '32');
 DeleteFile('C:\Users\Администратор\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\daemon2.exe', '32');
 DeleteFileMask('c:\users\836d~1\appdata\roaming\setupsk', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\locallow\searchgo', '*', true);
 DeleteDirectory('c:\users\836d~1\appdata\roaming\setupsk');
 DeleteDirectory('c:\users\администратор\appdata\locallow\searchgo');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bpzuozryba');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[gazza]

А то что выше добавил про найденный Каспером вирус? Всё равно ЭТИ логи делать?

[Sandor]

Да, и не только логи

[gazza]

Сделано.

 

 

ClearLNK-12.07.2017_13-35.log

CollectionLog-2017.07.12-13.44.zip

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[gazza]

Готово.

 

 

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  () C:\ProgramData\Framework\System.exe
  () C:\ProgramData\Framework\Windows Driver.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  Toolbar: HKU\S-1-5-21-2265957962-733238704-566388005-500 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
  Toolbar: HKU\S-1-5-21-2265957962-733238704-566388005-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B21FCDE68-2D7B-41CE-8334-B6D7F2DCB52F%7D&gp=811041
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\9c39-e628-b81c-c517 [2016-09-02]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-26]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-26]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-26]
  FF HKU\S-1-5-21-2265957962-733238704-566388005-500\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
  CHR HomePage: Default -> distrinline.com
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B175E1F96-9C6D-4661-826F-6C00222E1B10%7D&gp=831106
  CHR DefaultSearchKeyword: Default -> mail.ru_
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  OPR StartupUrls:  "hxxp://trusoba.ru/?utm_source=startpage03&utm_content=b9edee93c5bc06b27cd7f585b1374632&utm_term=F1A0F9EAF0619DBAD05517A91FB1B740&utm_d=20161012" 
  R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
  S2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
  R2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
  2017-07-01 20:44 - 2017-07-12 13:17 - 00000000 ___RD C:\Users\Все пользователи\Framework
  2017-07-01 20:44 - 2017-07-12 13:17 - 00000000 ___RD C:\ProgramData\Framework
  2017-07-01 20:44 - 2017-07-12 10:17 - 00000000 ____D C:\Users\Все пользователи\WindowsSQL
  2017-07-01 20:44 - 2017-07-12 10:17 - 00000000 ____D C:\ProgramData\WindowsSQL
  2017-07-01 20:44 - 2017-07-01 20:44 - 00000000 ____D C:\Users\Все пользователи\DirectX11b
  2017-07-01 20:44 - 2017-07-01 20:44 - 00000000 ____D C:\ProgramData\DirectX11b
  2017-07-12 13:06 - 2016-01-17 09:19 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Calculator
  ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
  ContextMenuHandlers01: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
  ContextMenuHandlers04: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  Task: {00AF0E06-3155-4748-A384-0B2FCE1372B6} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll",#1 <==== ATTENTION
  Task: {07360A0D-C3C4-4079-A7A3-50BF0284EB09} - \InternetEF -> No File <==== ATTENTION
  Task: {2EED3855-A4D0-425F-9904-49948D3CE41B} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll",#1 <==== ATTENTION
  Task: {8A2B3D6B-FE38-4982-A73C-FFFCC97BD878} - System32\Tasks\MSI => C:\Users\Администратор\AppData\Roaming\Microsoft\msi.exe
  Task: {BBDCBB61-41A2-46B6-9C06-2C47AE786C4D} - \TaskSched -> No File <==== ATTENTION
  Task: C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YubeAlckU\HV8ZO4B.dll <==== ATTENTION
  C:\ProgramData\Framework\
  FirewallRules: [{5F4CFAB9-DA95-4E1E-9E68-4B283D629239}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{B0898C4B-5717-4B87-B1D1-609AF23810CA}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{8748304D-7F5A-4E37-B249-A570F0DD296C}] => (Allow) C:\Users\Администратор\AppData\Roaming\ACEStream\engine\ace_engine.exe
  FirewallRules: [{AFA397CD-A430-47EA-8250-23571A273C8E}] => (Allow) C:\Users\Администратор\AppData\Roaming\ACEStream\engine\ace_engine.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В Chrome вручную удалите расширения:

Orbitum Speed Dial

uBlock Origin

в Опере:

Блокировщик Рекламы Для Ютуба™

Сообщите что из проблем осталось.

[gazza]

Проблемы больше не наблюдаются. Всё работает как часы. Большое Спасибо за помощь.

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.