Шамиль Джихадов Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Здравствуйте! Два дня назад антивирус обнаружил вирус. Перезагрузка не помогла. KVRT нашел вирус, но перезагрузка не помогла. Логи прикрепил. CollectionLog-2018.07.28-16.41.zip
regist Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 1) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKLM\..\Session Manager: [BootExecute] = sh4native 7099 (file missing) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Download ALL with IDA: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Download remotely with IDA: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Download with IDA: (default) = (no file) O9-32 - Button: HKLM\..\{9819CC0E-9669-4D01-9CD7-2C66DA43AC6C}: (no name) - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending): (no name) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced): (no name) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing): (no name) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending): (no name) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced): (no name) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing): (no name) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file) O23 - Service S2: Scramby Server - (ScrambyServer) - C:\Games\Новая папка\ScrambyServer.exe (file missing) 2) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 3) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
Шамиль Джихадов Опубликовано 28 июля, 2018 Автор Опубликовано 28 июля, 2018 1) Пофиксил. 2) Лог прикрепил. 3) Лог прикрепил. ClearLNK-2018.07.28_17.06.58.log M4G1C1337_2018-07-28_17-11-04.7z
regist Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Loaris Trojan Remover 2.0.44,SPYHUNTER - деинсталируйте. HiJackThis версия 1.0.0 - очень древняя, её тоже советую деинсталировать. Да и вообще хиджак не нуждается в инсталяции. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.6\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.6\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref I:\SETUP.EXE delref {0596C850-7BDD-4C9D-AFDF-873BE6890637}\[CLSID] delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {05B38830-F4E9-4329-978B-1DD28605D202}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {7AEFE841-DCA1-4A95-80CB-BE935D020602}\[CLSID] delref %SystemDrive%\USERS\ИГОРЬ\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HIJACKTHIS.EXE delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\DRIVERS\ESGSCANNER.SYS delref %Sys32%\DRIVERS\POWZIP.SYS apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. что с проблемой?
Шамиль Джихадов Опубликовано 28 июля, 2018 Автор Опубликовано 28 июля, 2018 Вирус все еще есть. Выполнил скрипт, но в папке uVS нет ни архива с префиксом ZOO_ ни папки ZOO.
regist Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Включите обнаружение нежелательных программ, обновите базы. После этого выполните полную проверку и проверьте проблему. + Сделайте свежий лог uVS.
Шамиль Джихадов Опубликовано 28 июля, 2018 Автор Опубликовано 28 июля, 2018 Полная проверка ничего не нашла, но антивирус все еще видит троян. Вот лог. M4G1C1337_2018-07-28_20-08-32.7z
regist Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Полная проверка ничего не нашла, но антивирус все еще видит троян. как это понимать? Нашёл в итоге или не нашёл? Очистите отчёты и ещё раз проверьте.SpyHunter4 - просил деинсталировать, не сделали .
Шамиль Джихадов Опубликовано 28 июля, 2018 Автор Опубликовано 28 июля, 2018 Спасибо. Очистил отчеты и антивирус успокоился.
regist Опубликовано 28 июля, 2018 Опубликовано 28 июля, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти