"...просто праздник какой-то!" Почистить хвосты.

[Steel Rain]

Доброго всем времени суток!

 

Знакомая принесла ноут с жалобой "медленно работает".

На ноуте был установлен 360 Internet Security, Avast, что то от Malwarebytes, некое поделие неизвестного автора Doktorчвототам + некая утилита для снятия галочек от установки нежелательных приложений.

Это добро я все снес.

Результат проверки KVRT: KVRT_scan1 KVRT_scan2 + после проверки регулярно находит в оперативке троян KVRT_scan3

Результат проверки DrWeb: DrWeb_scan1, добил троян, пофиксил hosts

Почистил ccleaner

Сделал полную проверку avz с полной эвристикой, все файлы. Почистил временные файлы avz.

После всех манипуляций работать стал повеселее. Прошу посмотреть логи на предмет остатка каких-либо хвостов.

Заранее признателен.

CollectionLog-2018.10.12-21.07.zip

Изменено 12 октября, 2018 пользователем Steel Rain

[SQ]

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить

O17 - HKLM\System\CCS\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 95.211.158.137
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 82.163.142.9
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{7030A29F-6BE1-4CCD-9C9B-D7A59AEF77EF}: [NameServer] = 95.211.158.137
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 82.163.142.9
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BAE73F43-B770-4133-887B-72777F55E4C5}: [NameServer] = 95.211.158.137
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 82.163.142.9
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C33DE828-4E37-41E4-824A-6A40AD9780D2}: [NameServer] = 95.211.158.137
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.9
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 95.211.158.137

Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:

8.8.8.8
8.8.4.4

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Steel Rain]

Благодарю за оперативный ответ.

Логи прилагаю.

На данный момент в хроме при открытии страницы на virusinfo.info... где ссылка и инструкция к AdwCleaner открывается лютое количество окон рекламы (AdwCleaner.jpg), практически невозможно добраться до ссылки + если щелкнуть даже по полосе прокрутки выкидывает на рекламную ссылку, открывается отдельная вкладка.

upd: пардон, из-за рекламных баннеров не дочитал инструкцию, нажал "очистить"

Ещё из симптомов добавлю:

В настройках хрома увидел разрешение на отправку уведомлений с ряда сайтов с признаком "включен администратором" chrome.jpg

Есть мнение, что браузеры нужно переустановить...

upd: сбросил настройки хрома, проблема ушла

Также заметил проблему с центром обновления винды. Не находит обновления.

Журнал пустой. Наверное очистил вместе со временными файлами. Либо обновления никогда не устанавливались...

upd: поставил обновление ЦО руками, стал загружать

ClearLNK-2018.10.12_21.55.00.log

AdwCleanerC00.txt

AdwCleanerS00.txt

Изменено 12 октября, 2018 пользователем Steel Rain

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Steel Rain]

После перезагрузки вернулась проблема с рекламными баннерами в хроме

Логи прилагаю.

FRST.txt

Addition.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\system32\wuaueng2.dll
  File: C:\Windows\system32\Drivers\utqxndi0.sys
  File: C:\Windows\system32\Drivers\utqxndiz.sys
  S0 3A7763A07; system32\drivers\3A7763A07.sys [X]
  Folder: C:\Windows\system32\CompatTel
  Folder: C:\ProgramData\Unchecky
  2018-01-01 22:01 - 2018-01-01 22:01 - 000000000 _____ () C:\Users\Bush\AppData\Local\{04A10A87-1C10-4CBA-8C69-E9E42BF38995}
  Task: {1A0C2455-07EC-4851-82A5-FA17E48CE6AD} - \AAct -> No File <==== ATTENTION
  Task: {6617B461-5320-43A5-8A34-41D9ED091375} - \9392D89E-E7FC-BDE3-16F8-F4AA702F4868 -> No File <==== ATTENTION
  Task: {6FF954CA-72E2-463A-BF85-CC3F7ED02A65} - \{080A0B47-7E0C-7A7E-7F11-7A780E09110D} -> No File <==== ATTENTION
  Task: {7B98D397-2BCF-4D75-8FFB-9B6C47B574BB} - \{7640BBFC-FD25-1204-4937-28A138FDCC6C} -> No File <==== ATTENTION
  Task: {A9EA7E74-8041-4466-8D17-B779843C4078} - \{7D7D0447-7F7A-0A05-0411-090E0F0E110E} -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Замечен каталог сигнализирующий о проблеме с файловой системой.

2018-10-12 16:41 - 2018-10-12 16:41 - 000000000 __SHD C:\found.000

[Steel Rain]

Баннеры пока не вылезают.

Лог прилагаю.

Замечен каталог сигнализирующий о проблеме с файловой системой.

Спасибо. Буду иметь ввиду.

Fixlog.txt

Изменено 13 октября, 2018 пользователем Steel Rain

[SQ]

Если Вам незнаком следующий каталог либо вы не сами ставили:

 

C:\ProgramData\Unchecky

То выполните следующее:

1)

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  C:\ProgramData\Unchecky
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

2) В AVZ выполните следующее:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

[Steel Rain]

Unchecky - на сколько понял это была некая утилита, которая должна была снимать галки с установки дополнительного ПО типа яндекс браузера, аваста и пр. при установке каких-либо приложений. Снес её в начале процесса лечения.

Судя по тому, что тут был и яндекс, и аваст, и майл.ру, и амиго и ещё туева хуча всякого подобного гумна, не особо она со своей задачей справлялась.

 

По субъективным ощущениям все в норме.

Сделал автолог снова. Все чисто?

Fixlog.txt

CollectionLog-2018.10.13-19.45.zip

Изменено 13 октября, 2018 пользователем Steel Rain

[SQ]

В автологгере не вижу вредоносного ПО.

 

 

Если ничего не беспокоит, то выполните следующее:

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Steel Rain]

Премного благодарен за помощь!

Лог прилагаю.

SecurityCheck.txt

[SQ]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19129 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------------- [ IM ] ----------------------------------

Viber v.8.6.0.7 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.4.44632 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

------------------------------- [ Browser ] -------------------------------

Opera Stable 55.0.2994.61 v.55.0.2994.61 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------