Перейти к содержанию
Авторизация  
lDmitryl

Троян dipladoks.org

Рекомендуемые сообщения

Добрый день! Помогите  справиться с трояном, который в автозапуск прописывает cmd.exe /c start dipladoks.org

CollectionLog-2018.12.24-15.53.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_141\bin\jp2ssv.dll (file missing)
O2-32 - HKLM\..\BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_141\bin\ssv.dll (file missing)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - HKLM\..\Toolbar: eShield - {69308F8F-3769-4DC2-BBF4-255DBA5D135A} - C:\Program Files (x86)\TNT2\2.0.0.2007\IEToolbar64.dll (file missing)
O3-32 - HKLM\..\Toolbar: eShield - {69308F8F-3769-4DC2-BBF4-255DBA5D135A} - C:\Program Files (x86)\TNT2\2.0.0.2007\ietoolbar.dll (file missing)
O4 - MSConfig\startupreg: Kseny [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/12/24)
O4 - MSConfig\startupreg: RaidCall [command] = C:\Program Files (x86)\raidcall\raidcall.exe (HKLM) (2012/10/18) (file missing)
O4 - MSConfig\startupreg: World of Warships [command] = D:\Games\World_of_Warships\WargamingGameUpdater.exe (HKCU) (2017/05/23) (file missing)
O4 - MSConfig\startupreg: uTorrent [command] = C:\Users\Kseny\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2015/09/22) (file missing)
O4-32 - (disabled) HKLM\..\Run-: [RaidCall] = C:\Program Files (x86)\RaidCall\raidcall.exe (file missing)
O4-32 - HKLM\..\Run: [IAStorIcon] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Kaspersky PURE: (default) = C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 17.0.0\KASPER~2\spIEBho.dll (file missing)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Task: Kseny - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kseny /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Task: Opera scheduled Autoupdate 1421268062 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task: {20A77D89-EF0C-474F-81B7-5CA975BEC424} - H:\Setup.exe (file missing)
O22 - Task: {CA7C9B98-7029-4C26-83FA-5A28719AE740} - H:\Setup.exe (file missing)
O22 - Task: запуск стима - C:\Program Files (x86)\Steam\Steam.exe (file missing)

 

2) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{6F3A3037-57C9-4964-893F-EF0E1B988A57}\PlayTasks\0\Играть.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{A58584AB-243D-407D-B48C-F22C0EDC6C66}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Guild 2 Renaissance\The Guild 2 Renaissance.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Guild 2 Renaissance\Деинсталлировать The Guild 2 Renaissance.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{302D3525-0BDB-42DB-B8CF-0B691A15F5BD}\PlayTasks\0\Играть.lnk
C:\Users\Public\Desktop\Плеер QSP.lnk
C:\Users\Public\Desktop\Плеер QSP - Набор игрока.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{3104C3DB-071B-40F6-A993-F916D8F9777A}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Воспитание Принцессы Золотая Версия\Воспитание Принцессы.lnk
C:\Users\Public\Desktop\MegaFon Modem old 9276975950.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{4A41F7AF-CAA1-4CB0-80A3-FC72D9F975BD}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV\PanService\Uninstall Service.lnk
C:\Users\Kseny\Desktop\Сократ Персональный 4.1.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русский Офис\Сократ Персональный 4.1.lnk
C:\Users\Kseny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyMonk 2\SkyMonk 2.lnk
C:\Users\Kseny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyMonk 2\Удалить SkyMonk 2.lnk
C:\Users\Kseny\AppData\Local\Microsoft\Windows\GameExplorer\{4850DAE2-2FC6-48A4-9C22-1D610862B215}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV\Europa Universalis IV.lnk
C:\Users\Kseny\Links\Autodesk 360.lnk
C:\Users\Public\Desktop\httpbeastextreme.org.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\AVS Proxy GUI 2.6.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.6.lnk

3) Сделайте свежие логи Автологером.

 

4) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

  • Похожий контент

    • От ARRAS
      Здравствуйте. Стал донимать вирус добавляющий в авто запуск строку  cmd.exe /c start www.dipladoks.org. Браузер по умолчанию Opera. Не могу сказать после каких действий или установки какой программы появился вирус. Сканирование Kaspersky Virus Removal Tool 2015 результатов не дало. Файл логов прикрепляю.
       
      Логи
      CollectionLog-2018.12.18-21.01.zip
    • От HukaTuH
      Здравствуйте. Стал донимать вирус добавляющий в авто запуск строку  cmd.exe /c start www.dipladoks.org. Браузер по умолчанию Mozila. Не могу сказать после каких действий или установки какой программы появился вирус. Сканирование Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! результатов не дало. Файл логов прикрепляю.

      Логи
      CollectionLog-2018.12.15-13.53.zip
×
×
  • Создать...