Подозрение на заражение.

[ОЛЕГ ЛЕВЧУК]

Доброго времени суток, помогите пожалуйста поймал троян , запустил доктор Веб удали 4 зараженных файла, и КВРТ , удалил один.  В защитнике виндовс прописались папки которые не могу от туда убрать .

Логи прикрепляю.

 

CollectionLog-2017.07.14-03.45.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll','');
 QuarantineFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Phoenix Browser Updater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll','32');
 DeleteFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll');
 DeleteFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', '32');
 DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[ОЛЕГ ЛЕВЧУК]

quarantine.zip = 51 701КБ не получается по электронке отправить.

Логи прикрепил. 

CollectionLog-2017.07.14-10.25.zip

[Sandor]

не получается по электронке отправить

Залейте на файлообменник, ссылку на скачивание мне в ЛС.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ОЛЕГ ЛЕВЧУК]

К сожалению все удалил , но есть прямая сылка на заразу даю в личку.

AdwCleanerS0.txt

Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ОЛЕГ ЛЕВЧУК]

Запустите повторно AdwCleaner

Прикрепите отчет к своему следующему сообщению

 

 

Скачайте Farbar Recovery Scan Tool

Прикрепите отчеты к своему следующему сообщению.

 

AdwCleanerC0.txt

AdwCleanerS1.txt

AdwCleanerC2.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerC3.txt

FRST.txt

Addition.txt

Shortcut.txt

Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CHR HomePage: Default -> hxxp://battlelog.battlefield.com/bf3/ru/gate/?returnUrl=
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204"
  2017-07-14 01:43 - 2017-07-14 01:43 - 00003794 __RSH C:\WINDOWS\System32\Tasks\curl
  2017-07-14 01:43 - 2017-07-14 01:43 - 00003588 __RSH C:\WINDOWS\System32\Tasks\curls
  2017-07-14 01:43 - 2017-07-14 01:43 - 00003582 __RSH C:\WINDOWS\System32\Tasks\MSI
  2017-07-14 01:43 - 2017-07-14 01:43 - 00000000 ____D C:\Users\olegl\AppData\Roaming\curl
  2017-07-14 01:46 - 2017-07-14 01:47 - 00000318 _____ C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job
  2017-07-14 01:46 - 2017-07-14 01:46 - 00002680 _____ C:\WINDOWS\System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B
  Task: {29122DF1-B230-4770-B4D6-FEA7651478F9} - System32\Tasks\curls => C:\Users\olegl\AppData\Roaming\curl\curl.exe
  Task: {3EDB06A3-82AA-4194-8CB5-31548796E60C} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B => Rundll32.exe "C:\Program Files (x86)\YiuAskU\t6YgDcm.dll",#1 <==== ATTENTION
  Task: {6D4960B4-1294-4031-A23D-8FF3C3E5F314} - System32\Tasks\MSI => C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe
  Task: {EE9E2641-689A-487A-A205-D98767540913} - System32\Tasks\curl => C:\Users\olegl\AppData\Roaming\curl\curl_7_54.exe [2017-07-14] (curl, hxxps://curl.haxx.se/)
  Task: C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job => C:\Program Files (x86)\YiuAskU\t6YgDcm.dll <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Расширение Хрома

Блокировщик Рекламы Для Ютуба™

удалите вручную.

 

Сообщите что с проблемой.

[ОЛЕГ ЛЕВЧУК]

Огромное спасибо , пк стабилен.

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ОЛЕГ ЛЕВЧУК]

после  проверки adwcleaner_6.047.exe   , кликаю Очистить , потом перезагрузка   и снова появляется  startup_urls   (

[Sandor]

Отключите синхронизацию - Как отключить синхронизацию в Chrome

 

Удалите Хром (сохраните нужные закладки). Убедитесь, что папка

C:\Users\olegl\AppData\Local\Google\Chrome\

отсутствует. Если нет, удалите вручную.

 

Скачайте и установите заново. Результат сообщите.

[ОЛЕГ ЛЕВЧУК]

Удалил браузер , осталась папка , но не могу удалить одну ветку , толи прав нет , толи процес используется 

C:\Users\olegl\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini\1.21_0

  \_locales

  \_metadata

  \icons

  \manifest.json

 

в безопасном режиме тоже не смог.

Удали изменив права доступа к папке и подпапкам и файлам.

• • C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

   

SecurityCheck.txt

Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК

[regist]

7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
FileZilla Client 3.25.0 v.3.25.0 Внимание! Скачать обновления
Adobe Flash Player 19 PPAPI v.19.0.0.228 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
 

Изменено 14 июля, 2017 пользователем regist

[ОЛЕГ ЛЕВЧУК]

Добрый день , на закрепления пожалуйста посмотрите логи.

 

CollectionLog-2017.07.15-14.27.zip