программа слежения

[Жанна1]

Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения.

просьба помочь. Файлы приложены.

AVZ_sysinfo_2.rar

[thyrex]

Порядок оформления запроса о помощи

[Жанна1]

 

Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения.

просьба помочь. Файлы приложены.

 

Отчет прикреплен.

CollectionLog-2017.10.08-00.07.zip

[SQ]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Жанна1]

 

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

лог AdwCleaner

AdwCleanerS01.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Жанна1]

 

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

Тема: Re: Запрос на исследование вредоносного файла [KLAN-6949099235]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

runkey.exe

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем

[SQ]

Согласно анализу virustotal.com - как раз указанное ПО логирует нажатие клавишь - not-a-virus:Monitor.Win32.KeyLogger.eah

Где отчет удаление ADwCleaner?
 

[Жанна1]

Согласно анализу virustotal.com - как раз указанное ПО логирует нажатие клавишь - not-a-virus:Monitor.Win32.KeyLogger.eah

 

Где отчет удаление ADwCleaner?

 

AdwCleanerC0.txt

AdwCleanerC1.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Жанна1]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [kbdsprt] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found]
  FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
  CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
  CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX"
  CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms}
  CHR DefaultSearchKeyword: Default -> sweet-page
  CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
  Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
  Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
  Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION
  Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
  Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
  Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

 

[Жанна1]

 

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [kbdsprt] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
  FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found]
  FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
  CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
  CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX"
  CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms}
  CHR DefaultSearchKeyword: Default -> sweet-page
  CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
  Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
  Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
  Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
  Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION
  Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
  Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
  Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

 

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Жанна1]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

2017-10-12_23-12-18.zip