Подозрения на троян оправдались - Trojan.Downloader.JS.Adload.f

[Ульянка]

Здравствуйте,

 

Знаю Вас и пользуюсь периодически Вашей помощью еще со времен virusinfo.

 

Уже давно подозревала, что комп тормозит не по-детски. При том что ничего не запущено полностью загружен процессор...
Но последнее время особой нужды в нем не было, а распечатать или сделать по мелочи можно было и так.

Недавно AVG напомнил о себе и решила его удалить, поставила Касперского free. Он нашел эту гадость и удалил. А я решила разобраться по полной.

Логи прилагаю. Во время проверки были ошибки что открыт доступ к перезапуску с HDD и DVD. А DVD щелкает и пытается запуститься с завидной регулярностью.

 

Спасибо заранее,

Ульяна

 

Еще раз проверила диспетчер задач. Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.

Спасибо.

CollectionLog-2018.12.07-13.44.zip

[regist]

 

 

Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.

для браузеров на основе Хрома это нормально.

Вирусов не видно, мусор немного почистим.

 

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

 

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

3)

Google Update Helper [20141113]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20180520]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

советую деинсталировать.

Unity Web Player [2018/06/20 11:40:25]-->C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

если сами не ставили, то тоже.

 

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[Ульянка]

Спасибо.

 

Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться.

Кстати, после того как файл с 3ей попытки закачался, avz завис.

 

MsiExec.exe - в списке программ нет. Нашла его в папке C:\Windows\System32 попробовала удалить.

Сначала написал нужны права администратора, потом:

"Вам необходимо разрешение на выполнение этой операции.

Запросите разрешение от "TrustedInstaller" на изменение этого файла."

 

C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe

У меня как-то странно и русская и английская версия сосуществуют.

Сейчас все папки русские

Windows8_OS(C:)\Пользователи\Иван\

Что имеется ввиду под Local не нашла.

 

Саму программу UnityWebPlayer нашла в загрузках и удалила.

AdwCleanerS00.txt

Изменено 7 декабря, 2018 пользователем Ульянка

[regist]

 

 

Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться. Кстати, после того как файл с 3ей попытки закачался, avz завис.

Вы про пункт №2 ? AVZ для сбора того архива достачно было один раз запустить. Если не получается закачать, то загрузите на файлообменник и ссылку укажите здесь.

 

 

 

Саму программу UnityWebPlayer нашла в загрузках и удалила.

надо было смотреть в Панель управления - Удаление программ.

 

 

Файл после AVG

не понятно вы снова поставили AVG или он сейчас удалён?

[Ульянка]

Спасибо.

 

AVG один раз запускала. С третьей попытки это я про загрузку отчета и после этого avz завис. Хотя как это связано не понимаю.

 

 

Про удаление программ.

 

Обычно когда находила программу и хотела удалить меня автоматически выбрасывало в удаление программ. А тут не случилось.

 

AVG не удаляла.

 

Только что зашла наконец и через удаление программ удалила UnityWebPlayer.

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

[regist]

AVG не удаляла.

на момент создания темы его уже не было.

 

 

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

MsiExec.exe и нельзя удалять.

Нажмите windows + R в отрывшееся окно скопируйте и вставьте следующее

MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

после этого Enter, должна запуститься деинсталяция.

 

+

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Изменено 7 декабря, 2018 пользователем regist

[Ульянка]

Сорри, у меня avz и avg смешались. Есть AVZ и нет и не было  AVG.

 

Команду запустила, но показалось в окошке было про инсталляцию.

 

Спасибо.

AdwCleanerC01.txt

AdwCleanerS01.txt

Изменено 7 декабря, 2018 пользователем Ульянка

[regist]

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

[Ульянка]

Спасибо. Жизнь заиграла новыми красками.

Осталось разобраться с учетными записями.