Steel Rain 2 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 (изменено) Доброго всем времени суток! Знакомая принесла ноут с жалобой "медленно работает". На ноуте был установлен 360 Internet Security, Avast, что то от Malwarebytes, некое поделие неизвестного автора Doktorчвототам + некая утилита для снятия галочек от установки нежелательных приложений. Это добро я все снес. Результат проверки KVRT: KVRT_scan1 KVRT_scan2 + после проверки регулярно находит в оперативке троян KVRT_scan3 Результат проверки DrWeb: DrWeb_scan1, добил троян, пофиксил hosts Почистил ccleaner Сделал полную проверку avz с полной эвристикой, все файлы. Почистил временные файлы avz. После всех манипуляций работать стал повеселее. Прошу посмотреть логи на предмет остатка каких-либо хвостов. Заранее признателен. CollectionLog-2018.10.12-21.07.zip Изменено 12 октября, 2018 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 Здравствуйте, HiJackThis (из каталога autologger)профиксить O17 - HKLM\System\CCS\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 82.163.142.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 95.211.158.137 O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 82.163.142.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 95.211.158.137 O17 - HKLM\System\CCS\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 82.163.142.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 95.211.158.137 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 82.163.142.9 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 95.211.158.137 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 82.163.142.9 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 95.211.158.137 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 82.163.142.9 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 95.211.158.137 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137 Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов: 8.8.8.8 8.8.4.4 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится. - Подготовьте лог AdwCleaner и приложите его в теме. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 (изменено) Благодарю за оперативный ответ. Логи прилагаю. На данный момент в хроме при открытии страницы на virusinfo.info... где ссылка и инструкция к AdwCleaner открывается лютое количество окон рекламы (AdwCleaner.jpg), практически невозможно добраться до ссылки + если щелкнуть даже по полосе прокрутки выкидывает на рекламную ссылку, открывается отдельная вкладка. upd: пардон, из-за рекламных баннеров не дочитал инструкцию, нажал "очистить" Ещё из симптомов добавлю: В настройках хрома увидел разрешение на отправку уведомлений с ряда сайтов с признаком "включен администратором" chrome.jpg Есть мнение, что браузеры нужно переустановить... upd: сбросил настройки хрома, проблема ушла Также заметил проблему с центром обновления винды. Не находит обновления. Журнал пустой. Наверное очистил вместе со временными файлами. Либо обновления никогда не устанавливались... upd: поставил обновление ЦО руками, стал загружать ClearLNK-2018.10.12_21.55.00.log AdwCleanerC00.txt AdwCleanerS00.txt Изменено 12 октября, 2018 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 После перезагрузки вернулась проблема с рекламными баннерами в хроме Логи прилагаю. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx File: C:\Windows\system32\wuaueng2.dll File: C:\Windows\system32\Drivers\utqxndi0.sys File: C:\Windows\system32\Drivers\utqxndiz.sys S0 3A7763A07; system32\drivers\3A7763A07.sys [X] Folder: C:\Windows\system32\CompatTel Folder: C:\ProgramData\Unchecky 2018-01-01 22:01 - 2018-01-01 22:01 - 000000000 _____ () C:\Users\Bush\AppData\Local\{04A10A87-1C10-4CBA-8C69-E9E42BF38995} Task: {1A0C2455-07EC-4851-82A5-FA17E48CE6AD} - \AAct -> No File <==== ATTENTION Task: {6617B461-5320-43A5-8A34-41D9ED091375} - \9392D89E-E7FC-BDE3-16F8-F4AA702F4868 -> No File <==== ATTENTION Task: {6FF954CA-72E2-463A-BF85-CC3F7ED02A65} - \{080A0B47-7E0C-7A7E-7F11-7A780E09110D} -> No File <==== ATTENTION Task: {7B98D397-2BCF-4D75-8FFB-9B6C47B574BB} - \{7640BBFC-FD25-1204-4937-28A138FDCC6C} -> No File <==== ATTENTION Task: {A9EA7E74-8041-4466-8D17-B779843C4078} - \{7D7D0447-7F7A-0A05-0411-090E0F0E110E} -> No File <==== ATTENTION Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Замечен каталог сигнализирующий о проблеме с файловой системой. 2018-10-12 16:41 - 2018-10-12 16:41 - 000000000 __SHD C:\found.000 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 (изменено) Баннеры пока не вылезают. Лог прилагаю. Замечен каталог сигнализирующий о проблеме с файловой системой. Спасибо. Буду иметь ввиду. Fixlog.txt Изменено 13 октября, 2018 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 Если Вам незнаком следующий каталог либо вы не сами ставили: C:\ProgramData\Unchecky То выполните следующее:1) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: C:\ProgramData\Unchecky Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 2) В AVZ выполните следующее:"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 (изменено) Unchecky - на сколько понял это была некая утилита, которая должна была снимать галки с установки дополнительного ПО типа яндекс браузера, аваста и пр. при установке каких-либо приложений. Снес её в начале процесса лечения. Судя по тому, что тут был и яндекс, и аваст, и майл.ру, и амиго и ещё туева хуча всякого подобного гумна, не особо она со своей задачей справлялась. По субъективным ощущениям все в норме. Сделал автолог снова. Все чисто? Fixlog.txt CollectionLog-2018.10.13-19.45.zip Изменено 13 октября, 2018 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 В автологгере не вижу вредоносного ПО. Если ничего не беспокоит, то выполните следующее: В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 Премного благодарен за помощь! Лог прилагаю. SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 14 октября, 2018 Share Опубликовано 14 октября, 2018 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.19129 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------------- [ IM ] ---------------------------------- Viber v.8.6.0.7 Внимание! Скачать обновления ^Необязательное обновление.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.4.44632 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ------------------------------- [ Browser ] ------------------------------- Opera Stable 55.0.2994.61 v.55.0.2994.61 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.