Троянская программа

[Pavel Гундышев]

Касперский постоянно обнаруживает трояна в программе Google Chrome.  Помогите пожалуйста.

CollectionLog-2017.09.25-08.50.zip

Изменено 25 сентября, 2017 пользователем Pavel Гундышев

[regist]

"Пофиксите" в HijackThis:

O8 - Extra context menu item: &Отправить в OneNote - C:\PROGRA~1\MICROS~1\Office16\ONBttnIE.dll (file missing)
O8 - Extra context menu item: &Экспорт в Microsoft Excel - C:\PROGRA~1\MICROS~1\Office16\EXCEL.EXE (file missing)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - (no file)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - (no file)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - (no file)
O22 - Task (Ready): \ASUS\USB 3.0 Boost Service - C:\Program Files (x86)\ASUS\AI Suite II\USB 3.0 Boost\U3BoostSvr.exe (file missing)
O22 - Task (Ready): \Microsoft\Feafd - C:\Users\123pa\AppData\Roaming\Aaddc\Ddcdd.exe /start (file missing)
O22 - Task (Ready): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task (Ready): \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Task (Ready): \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload (file missing)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Pavel Гундышев]

Готово.

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Затем отключите в Хроме все расширения и проверьте проблему.

[Pavel Гундышев]

Проблема решена, Спасибо

AdwCleanerS2.txt

[Sandor]

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt

Обратите внимание, в имени файла должен быть символ [C], а не .

 

Проблема решена

Каким образом, отключением расширений? Если да, сообщите каких именно.

[Pavel Гундышев]

Каким образом проблема решена не знаю. После включения расширений проблема не появляеться. Лог сейчас переделаю.

Лог

AdwCleanerC0.txt

[Sandor]

Хорошо, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

2.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

3. Прочтите и выполните Рекомендации после удаления вредоносного ПО

Изменено 25 сентября, 2017 пользователем Sandor

[Pavel Гундышев]

Сделаю. Спасибо