Archive

[Marroko]

Подмена архивов с яндекс диска и других файлообмеников на archive-99-56c.zip

CollectionLog-2017.11.24-04.41.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\rempl\remsh.exe','');
 DeleteFile('C:\Program Files\rempl\remsh.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell-unlock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\AA6724290-8D08-40B1-97F4-06046E7D7F35','64');
 DeleteFile('C:\Users\USER\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\A6724290-8D08-40B1-97F4-06046E7D7F35\1E87841F-B0D0-4B64-94AF-60A77C99AF6D.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack из папки Autologger

O4 - HKU\S-1-5-18\..\Run: [script_fcbd] D:\Far Cry 3 Blood Dragon\fcbd.bat  (file missing)
O8 - Extra context menu item: &Экспорт в Microsoft Excel - C:\Program Files (x86)\Microsoft Office\Office12\EXCEL.EXE (file missing)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9 - Extra button: Skype Click to Call settings - HKLM\..\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9-32 - Extra button: Skype Click to Call settings - HKLM\..\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file)
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 8.8.8.8
O17 - HKLM\System\CSS\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{28345e40-f797-4b8d-9d18-3b0bffd894f6}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{801c2a19-dbc6-422f-bc7e-c0a262b780cd}: NameServer = 82.202.226.203
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Disabled): Adobe Acrobat Update Task - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (file missing)
O22 - Task (Ready): TaskBarExecute - C:\Users\USER\AppData\Roaming\NetWorkDrivers\Modules\taskmng.exe (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Marroko]

Новые логи

CollectionLog-2017.11.24-12.29.zip

Изменено 24 ноября, 2017 пользователем thyrex

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Marroko]

Еще логи

 

 

FRST.txt

Addition.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {07F559F5-A833-4413-AC9D-E4C3A140F0D5} - \Microsoft\Windows\rempl\shell -> No File <==== ATTENTION
Task: {4ECCFB90-E694-4EE4-8BBB-E4070352DE53} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {59FD8B16-EBA9-4E92-976E-9990607988E5} - \Microsoft\Windows\rempl\shell-unlock -> No File <==== ATTENTION
Task: {68F00762-823F-4639-ADB3-25F45194B048} - \Form Food -> No File <==== ATTENTION
Task: {691971EF-B897-4E62-8CED-78F3CC78E31A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {6C6499A8-31C6-4652-8F4F-1463FC77D007} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {9157A192-9B5F-4A2B-B660-5215876BDB6C} - \Microsoft\Windows\AA6724290-8D08-40B1-97F4-06046E7D7F35 -> No File <==== ATTENTION
Task: {B2A85C8B-49AF-47C9-AEED-1F0FC0A7D0D9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {BE7A426D-E87E-44B4-8267-59A335CC2A19} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D44ADAEB-0063-47EF-A8CB-C1362FFBC741} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F0681571-79F0-4F90-8EE9-DE027BE90B5F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\USER\Application Data:NT [40]
AlternateDataStreams: C:\Users\USER\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\USER\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\USER\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
HKU\S-1-5-21-1868332343-2994857012-2175684788-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11242017201744265\...\StartupApproved\Run: => "ycAutoLaunch_A3790DF536C5607C1097C257C7E6791E"
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKLM-x32 - No Name - {961a325c-7fdf-4a82-b0b5-43e136f4edb1} -  No File
Toolbar: HKLM-x32 - No Name - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} -  No File
Handler: AutorunsDisabled - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx <not found>
2017-09-28 19:32 - 2017-11-05 14:58 - 000000000 ____D C:\Users\Все пользователи\DirectX11b
2017-09-28 19:32 - 2017-11-05 14:58 - 000000000 ____D C:\ProgramData\DirectX11b
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Marroko]

Готово

Fixlog.txt

Изменено 25 ноября, 2017 пользователем Marroko

[thyrex]

Проблема решена?

[Marroko]

Да,благодарю за все

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Marroko]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась Внимание! Скачать обновления

Internet Explorer 11.1176.10586.0 [+]

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба веб-публикаций (W3SVC) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1022

Microsoft Office 2010 x86 v.14.0.4763.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (отключен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (отключен)

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления

Oracle VM VirtualBox 5.2.0 v.5.2.0

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Telegram Desktop version 1.1.23 v.1.1.23

Skype™ 7.40 v.7.40.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.1.0.1

iTunes v.12.7.1.14

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 NPAPI v.25.0.0.171 Внимание! Скачать обновления

Adobe Flash Player 27 PPAPI v.27.0.0.183 Внимание! Скачать обновления

Adobe Acrobat Reader DC - Russian v.15.016.20045 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 55.0.3 (x86 ru) v.55.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Google Chrome v.62.0.3202.94

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.94

------------------ [ AntivirusFirewallProcessServices ] -------------------

Malwarebytes Service (MBAMService) - Служба остановлена

Служба Защитника Windows (WinDefend) - Служба остановлена

Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Host Service Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

AVG PC TuneUp 2015 (ru-RU) v.15.0.1001.638 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Appset Updater 1.1.129.0 v.1.1.129.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

AVG PC TuneUp 2015 v.15.0.1001.638 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AVG PC TuneUp 2015 (HKLM-x32\...\{A996C182-3724-4DF1-A4BC-66154FE57DFE}) (Version: 15.0.1001.638 - AVG Technologies) Hidden
AVG PC TuneUp 2015 (ru-RU) (HKLM-x32\...\{715AE27E-6F93-4380-AFE4-0D0F2B1CE095}) (Version: 15.0.1001.638 - AVG Technologies) Hidden
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После этого выполните рекомендации из сообщения №11, и на этом закончим