Троян dipladoks.org

[lDmitryl]

Добрый день! Помогите  справиться с трояном, который в автозапуск прописывает cmd.exe /c start dipladoks.org

CollectionLog-2018.12.24-15.53.zip

[regist]

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_141\bin\jp2ssv.dll (file missing)
O2-32 - HKLM\..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_141\bin\ssv.dll (file missing)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: eShield - {69308F8F-3769-4DC2-BBF4-255DBA5D135A} - C:\Program Files (x86)\TNT2\2.0.0.2007\IEToolbar64.dll (file missing)
O3-32 - HKLM\..\Toolbar: eShield - {69308F8F-3769-4DC2-BBF4-255DBA5D135A} - C:\Program Files (x86)\TNT2\2.0.0.2007\ietoolbar.dll (file missing)
O4 - MSConfig\startupreg: Kseny [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/12/24)
O4 - MSConfig\startupreg: RaidCall [command] = C:\Program Files (x86)\raidcall\raidcall.exe (HKLM) (2012/10/18) (file missing)
O4 - MSConfig\startupreg: World of Warships [command] = D:\Games\World_of_Warships\WargamingGameUpdater.exe (HKCU) (2017/05/23) (file missing)
O4 - MSConfig\startupreg: uTorrent [command] = C:\Users\Kseny\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2015/09/22) (file missing)
O4-32 - (disabled) HKLM\..\Run-: [RaidCall] = C:\Program Files (x86)\RaidCall\raidcall.exe (file missing)
O4-32 - HKLM\..\Run: [IAStorIcon] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Kaspersky PURE: (default) = C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\KASPER~2\spIEBho.dll (file missing)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Task: Kseny - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kseny /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Task: Opera scheduled Autoupdate 1421268062 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task: {20A77D89-EF0C-474F-81B7-5CA975BEC424} - H:\Setup.exe (file missing)
O22 - Task: {CA7C9B98-7029-4C26-83FA-5A28719AE740} - H:\Setup.exe (file missing)
O22 - Task: запуск стима - C:\Program Files (x86)\Steam\Steam.exe (file missing)

 

2) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{6F3A3037-57C9-4964-893F-EF0E1B988A57}\PlayTasks\0\Играть.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{A58584AB-243D-407D-B48C-F22C0EDC6C66}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Guild 2 Renaissance\The Guild 2 Renaissance.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Guild 2 Renaissance\Деинсталлировать The Guild 2 Renaissance.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{302D3525-0BDB-42DB-B8CF-0B691A15F5BD}\PlayTasks\0\Играть.lnk
C:\Users\Public\Desktop\Плеер QSP.lnk
C:\Users\Public\Desktop\Плеер QSP - Набор игрока.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{3104C3DB-071B-40F6-A993-F916D8F9777A}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Воспитание Принцессы Золотая Версия\Воспитание Принцессы.lnk
C:\Users\Public\Desktop\MegaFon Modem old 9276975950.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{4A41F7AF-CAA1-4CB0-80A3-FC72D9F975BD}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV\PanService\Uninstall Service.lnk
C:\Users\Kseny\Desktop\Сократ Персональный 4.1.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русский Офис\Сократ Персональный 4.1.lnk
C:\Users\Kseny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyMonk 2\SkyMonk 2.lnk
C:\Users\Kseny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyMonk 2\Удалить SkyMonk 2.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{4850DAE2-2FC6-48A4-9C22-1D610862B215}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV\Europa Universalis IV.lnk
C:\Users\Kseny\Links\Autodesk 360.lnk
C:\Users\Public\Desktop\httpbeastextreme.org.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\AVS Proxy GUI 2.6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.6.lnk

3) Сделайте свежие логи Автологером.

 

4) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.