Очистка ноута от вирусов

[lolich25 0]

Привет. Проверил ноут утилитой касперского, adwcleaner. много чего удалилось. утилита каспер. находит троян в системной памяти, а удалить не может. логи ниже.

CollectionLog-2018.01.15-15.44.zip

[Sandor 890]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '');
 QuarantineFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '');
 QuarantineFile('C:\ProgramData\AppriabuS\Bigtex.dll', '');
 QuarantineFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0224A2FE-B58F-1555-75A5-3A035CBEF1E9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{82AA7228-3501-C583-E4BA-EBAD25F5FB31}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '32');
 DeleteFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '32');
 DeleteFile('C:\ProgramData\AppriabuS\Bigtex.dll', '32');
 DeleteFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5ia9a8GGkjgX.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wtrwll', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 15 января, 2018 пользователем Sandor

[lolich25 0]

KLAN-7523008024

CollectionLog-2018.01.15-16.17.zip

[Sandor 890]

Номер Вы указали, а ответ не сообщили.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

adwcleaner. много чего удалилось

Если сохранились отчеты, покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lolich25 0]

adwcleaner логи удалил старые. 

Addition.txt

FRST.txt

Shortcut.txt

HiJackThis.log

[lolich25 0]

В антивирусных базах информация по присланным вами файлам отсутствует:
74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe
5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe
Bigtex.dll
wtrwll.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
SaltOvefresh.dll - UDS:DangerousObject.Multi.Generic
5ia9a8GGkjgX.exe - UDS:DangerousObject.Multi.Generic

[Sandor 890]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
  SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
  BHO-x32: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File
  Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-12-29]
  FF Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-29]
  FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-29]
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB569E438-20EB-4469-B609-D023C6449A7A%7D&gp=811022
  CHR DefaultSearchKeyword: Default -> mail.ru_
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
  2018-01-06 09:51 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\AppriabuS
  2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\f84a3c7a94524f5ba6add63eb8bd0cf7
  2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\47721650c4d24546b607cc929faaa42d
  2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\f84a3c7a94524f5ba6add63eb8bd0cf7
  2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\47721650c4d24546b607cc929faaa42d
  2018-01-06 09:41 - 2018-01-06 09:45 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\7ab5e4cdd0ee43eb8750699baf6e98fc
  2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Все пользователи\5b549542c2eb4e4e9d17d9183822bad6
  2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\ProgramData\5b549542c2eb4e4e9d17d9183822bad6
  2018-01-06 09:30 - 2018-01-06 09:30 - 000000000 ____D C:\Users\Игорь\AppData\Local\2fd69704f8a24364b367bf01241a2d52
  2018-01-06 09:29 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\941b59890c2e48f0b3bd8a5e38794f70
  2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
  2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
  2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
  2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
  2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\Users\Все пользователи\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
  2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\ProgramData\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{672E4048-D085-F7E3-4A89-3F8153982208}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{672E4048-D085-F7E3-4A89-3F8153982208}
  2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
  2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
  2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
  2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
  2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
  2018-01-06 09:05 - 2018-01-06 09:11 - 000000000 ____D C:\Users\Игорь\AppData\Local\5935c6c3176849598bccaa89803ffa45
  2018-01-06 09:04 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\49400410a8524c54a67382bfef1ab45a
  2017-12-29 19:35 - 2017-12-29 19:35 - 001980340 _____ C:\Users\Игорь\AppData\Local\Whitefan.tst
  2017-12-29 19:35 - 2017-12-29 19:35 - 000126464 _____ C:\Users\Игорь\AppData\Local\noah.dat
  2017-12-29 19:35 - 2017-12-29 19:35 - 000070800 _____ C:\Users\Игорь\AppData\Local\Config.xml
  2017-12-29 19:35 - 2017-12-29 19:35 - 000005568 _____ C:\Users\Игорь\AppData\Local\md.xml
  2017-12-29 19:30 - 2017-12-29 19:30 - 000140800 _____ C:\Users\Игорь\AppData\Local\installer.dat
  2017-12-29 19:30 - 2017-12-29 19:30 - 000014848 _____ C:\Users\Игорь\AppData\Local\srvcom.dll
  2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\aaa56a3b6d1144e28303f7eb1c7eaf60
  2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\2b089bf4930347e8809f6fd012888581
  2017-12-29 19:28 - 2017-12-29 19:28 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\b0650e045ec642bd8628e821d49cb128
  Task: {0D06D13C-ADC1-42BE-9149-0F2FDAFB7763} - \{DBBE7F67-A648-5488-CF78-112B284B400C} -> No File <==== ATTENTION
  Task: {45D5B76C-8D17-4CDD-B553-E1EB8C3721E2} - \{0D7D0B47-0E7F-7908-0D11-0B040A04110D} -> No File <==== ATTENTION
  Task: {9F47E1D4-CC1E-4651-99C6-B944ED56DD72} - \vqiVoSqILKMveFzSg2 -> No File <==== ATTENTION
  Task: {B1D3A741-3D94-4EDC-B22E-98A546ECC82F} - \{819CF309-3637-44A2-7C22-686EE539B6E2} -> No File <==== ATTENTION
  Task: {ECACE2DA-E4D5-4538-B977-5E80F902BC1C} - \F34F9528-126E-938F-0815-3CC3309D9DF1 -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[lolich25 0]

Сделал.

Fixlog.txt

[Sandor 890]

Что сейчас с проблемой?

[lolich25 0]

спасибо. ноут ожил и задышал=)

[Sandor 890]

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[lolich25 0]

сделаю. в моем компьютере пустая папка\файл не убралась от яндекс диск. а ее как убрать?

 

сделаю. на скрине пустая папка появилась от яндекс диск. а ее как убрать?

Изменено 17 января, 2018 пользователем lolich25

[Sandor 890]

Соберите и прикрепите свежий CollectionLog.zip с помощью Autologger.

[lolich25 0]

сделано.

CollectionLog-2018.01.18-16.25.zip

[Sandor 890]

1.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden
  C:\Users\Игорь\Links\Яндекс.Диск.lnk
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

2.

Ярлыки

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

3.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Менеджер браузеров