Trojan.Yontoo.6589

[lutariel]

Здравствуйте!

Компьютер начал тормозить, проверили через CureIt! (на самом компьютере также установлена Kaspersky Internet Security), обнаружился Trojan.Yontoo.6589, вылечить не удалось, поместился в карантин. Посмотрите, пожалуйста, логи, все ли в порядке, нужно ли еще что-то предпринять?

CollectionLog-2018.03.22-21.16.zip

[thyrex]

Сделайте лог МВАМ

[lutariel]

Нашлось вредоносное ПО, пока ничего с ним не делали, логи прилагаю.

mbam.txt

[thyrex]

Синхронизацию браузеров с настройками в Интернете отключите, после этого удалите в МВАМ все найденное

[lutariel]

Не совсем поняла, как именно отключить синхронизацию. Судя по инструкциям в интернете, для этого нужно, чтобы браузер был подключен к электронной почте, но в данный момент у меня стоит просто "Пользователь 1", и настроек синхронизации просто нет.

 

Файлы помещены в карантин. Кстати, непосредственно перед этим браузер пытался перейти на сайт viceice, чего ранее не было. 

 

Какие дальнейшие шаги необходимо предпринять?

[thyrex]

Что сейчас с проблемой?

[lutariel]

Найденные файлы помещены в карантин. Но при повторной проверке Malwarebytes опять находит PUP.Optional.MailRu, хотя этот файл уже удалялся.

 

Что нужно еще сделать, чтобы убедиться в том, что вредоносного ПО на компьютере не осталось?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[lutariel]

Готово.

Farbar.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-12-25 15:23 - 2017-12-25 15:23 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign47c6a0988b507dc0
2017-12-25 14:18 - 2017-12-25 14:18 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign2ff5e333a8408d53
2017-12-25 14:17 - 2017-12-25 14:17 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigne2f2090b29f4600a
2017-12-25 14:11 - 2017-12-25 14:11 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign5ae883d03bc8de4a
2017-12-25 14:11 - 2017-12-25 14:11 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign2ba4632583a90164
2017-12-25 13:49 - 2017-12-25 13:49 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign4b28d0a644366051
2017-12-25 13:49 - 2017-12-25 13:49 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign419b559ef162c7e2
2017-12-25 13:49 - 2017-12-25 13:49 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign331f794243100b5e
2017-12-25 13:48 - 2017-12-25 13:48 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigncd4d0263614e9b25
2017-12-25 13:47 - 2017-12-25 13:47 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign888850b85dfa806c
2017-12-25 13:46 - 2017-12-25 13:46 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign80726cda9d7c4e0e
2017-12-25 13:21 - 2017-12-25 13:21 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigncfec245112807894
2017-12-25 13:21 - 2017-12-25 13:21 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign336cd09a4b3a7ac5
2017-12-25 13:20 - 2017-12-25 13:20 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigne92e360cc1fdc4eb
2017-12-25 13:20 - 2017-12-25 13:20 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign2c68ef614e2d9c3d
2017-12-20 11:29 - 2017-12-20 11:29 - 000003072 _____ () C:\Users\Admin\AppData\Local\Temp\2q5fsz4f.dll
2017-12-20 12:08 - 2017-12-20 12:08 - 000003072 _____ () C:\Users\Admin\AppData\Local\Temp\myqsqfq3.dll
2017-12-20 11:31 - 2017-12-20 11:31 - 000003072 _____ () C:\Users\Admin\AppData\Local\Temp\uko4selp.dll
C:\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Profile 1\Web Data
C:\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[lutariel]

Вот.

Fixlog.txt

[thyrex]

Сделайте лог AdwCleaner

[lutariel]

Сделала.

Нашлось PUP.Optional.Legacy, пока ничего с ним не делаю.

AdwCleanerS0.txt

Изменено 24 марта, 2018 пользователем lutariel

[thyrex]

Удаляйте

[lutariel]

Удалила, полученный лог прилагаю.

Прогнала еще раз через Malwarebytes, снова всплывает PUP.Optional.MailRu