Перейти к содержанию

Подозрение на заражение.


Рекомендуемые сообщения

Доброго времени суток, помогите пожалуйста поймал троян , запустил доктор Веб удали 4 зараженных файла, и КВРТ , удалил один.  В защитнике виндовс прописались папки которые не могу от туда убрать .

Логи прикрепляю.

 

CollectionLog-2017.07.14-03.45.zip

post-14862-0-55393800-1499994935_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll','');
 QuarantineFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Phoenix Browser Updater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll','32');
 DeleteFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll');
 DeleteFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', '32');
 DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

не получается по электронке отправить

Залейте на файлообменник, ссылку на скачивание мне в ЛС.
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

К сожалению все удалил , но есть прямая сылка на заразу даю в личку.

AdwCleanerS0.txt

Изменено пользователем ОЛЕГ ЛЕВЧУК
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Запустите повторно AdwCleaner

Прикрепите отчет к своему следующему сообщению

 

 

Скачайте Farbar Recovery Scan Tool

Прикрепите отчеты к своему следующему сообщению.

 

AdwCleanerC0.txt

AdwCleanerS1.txt

AdwCleanerC2.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerC3.txt

FRST.txt

Addition.txt

Shortcut.txt

Изменено пользователем ОЛЕГ ЛЕВЧУК
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    CHR HomePage: Default -> hxxp://battlelog.battlefield.com/bf3/ru/gate/?returnUrl=
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204"
    2017-07-14 01:43 - 2017-07-14 01:43 - 00003794 __RSH C:\WINDOWS\System32\Tasks\curl
    2017-07-14 01:43 - 2017-07-14 01:43 - 00003588 __RSH C:\WINDOWS\System32\Tasks\curls
    2017-07-14 01:43 - 2017-07-14 01:43 - 00003582 __RSH C:\WINDOWS\System32\Tasks\MSI
    2017-07-14 01:43 - 2017-07-14 01:43 - 00000000 ____D C:\Users\olegl\AppData\Roaming\curl
    2017-07-14 01:46 - 2017-07-14 01:47 - 00000318 _____ C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job
    2017-07-14 01:46 - 2017-07-14 01:46 - 00002680 _____ C:\WINDOWS\System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B
    Task: {29122DF1-B230-4770-B4D6-FEA7651478F9} - System32\Tasks\curls => C:\Users\olegl\AppData\Roaming\curl\curl.exe
    Task: {3EDB06A3-82AA-4194-8CB5-31548796E60C} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B => Rundll32.exe "C:\Program Files (x86)\YiuAskU\t6YgDcm.dll",#1 <==== ATTENTION
    Task: {6D4960B4-1294-4031-A23D-8FF3C3E5F314} - System32\Tasks\MSI => C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe
    Task: {EE9E2641-689A-487A-A205-D98767540913} - System32\Tasks\curl => C:\Users\olegl\AppData\Roaming\curl\curl_7_54.exe [2017-07-14] (curl, hxxps://curl.haxx.se/)
    Task: C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job => C:\Program Files (x86)\YiuAskU\t6YgDcm.dll <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Расширение Хрома

Блокировщик Рекламы Для Ютуба™

удалите вручную.

 

Сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Отключите синхронизацию - Как отключить синхронизацию в Chrome

 

Удалите Хром (сохраните нужные закладки). Убедитесь, что папка

C:\Users\olegl\AppData\Local\Google\Chrome\

отсутствует. Если нет, удалите вручную.

 

Скачайте и установите заново. Результат сообщите.

Ссылка на сообщение
Поделиться на другие сайты

Удалил браузер , осталась папка , но не могу удалить одну ветку , толи прав нет , толи процес используется 

C:\Users\olegl\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini\1.21_0

  \_locales

  \_metadata

  \icons

  \manifest.json

 

в безопасном режиме тоже не смог.


Удали изменив права доступа к папке и подпапкам и файлам.


    • C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

     

SecurityCheck.txt

Изменено пользователем ОЛЕГ ЛЕВЧУК
Ссылка на сообщение
Поделиться на другие сайты

7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
FileZilla Client 3.25.0 v.3.25.0 Внимание! Скачать обновления
Adobe Flash Player 19 PPAPI v.19.0.0.228 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...