Сергей Каткович Опубликовано 8 января, 2019 Опубликовано 8 января, 2019 При открытии Хрома антивирус Kaspersky блокирует опасный веб-сайт. Происходит такое с периодичностью. Проверка нечего не выявила. CollectionLog-2019.01.09-02.39.zip
SQ Опубликовано 9 января, 2019 Опубликовано 9 января, 2019 Здравствуйте,HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_190104 R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_190104&q={searchTerms} - Ad-Aware SecureSearch R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErQ420mCb-Qh0chbK9Zb6f5urYvqVu9ndcMB5i-XZvjb3nAco5_W6MSL8O-6OGmeHHIbSELhq_-YtqwGd4eDDyXrnzMVr7EyQDNq8FRmI6AnnBGVUth10_eOS7ZUq6fNjbGgtgArW2ochckkdL4R7wzTO5PmK4C-TlVjml8ok4&q={searchTerms} - Search the web O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file) O22 - Task: SOVqgpLsuXhFCxp2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll",#1 O22 - Task: {3BA6575B-BEFE-D63C-C568-CABBD56F0708} - C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe /package https://refreshnerer711.info/UdTnNYTtQZ.Uuj -q O22 - Task: {5AA922F2-C16A-811E-C7E5-147D6B5C00B3} - C:\Users\Сергей\EGuwYSSEkHo.exe -q /package https://refreshnerer711rb.info/wQy0za3vb8F.6Sj AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll',''); QuarantineFileF('C:\Program Files (x86)\fHDlqDVwU', '*.exe,*.dll,*.sys', false,'', 0, 0); QuarantineFile('C:\Users\Сергей\EGuwYSSEkHo.exe',''); QuarantineFile('C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Local\Michael\Michael.dll',''); QuarantineFileF('C:\Users\Сергей\AppData\Local\Michael', '*.exe,*.dll,*.sys', false,'', 0, 0); DeleteFile('C:\Users\Сергей\AppData\Local\Michael\Michael.dll','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AppServiceGroup\Parameters','ServiceDll','x64'); DeleteFile('C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe','64'); DeleteSchedulerTask('{3BA6575B-BEFE-D63C-C568-CABBD56F0708}'); DeleteFile('C:\Users\Сергей\EGuwYSSEkHo.exe','64'); DeleteSchedulerTask('{5AA922F2-C16A-811E-C7E5-147D6B5C00B3}'); DeleteSchedulerTask('SOVqgpLsuXhFCxp2'); DeleteFile('C:\Program Files (x86)\fHDlqDVwU\lAbOqG.dll','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму- Подготовьте лог AdwCleaner и приложите его в теме.
Сергей Каткович Опубликовано 9 января, 2019 Автор Опубликовано 9 января, 2019 Выполнил. Нужно было Adw выполнить команду утилитой? ( очистить и восстановить ) AdwCleanerS00.txt
SQ Опубликовано 9 января, 2019 Опубликовано 9 января, 2019 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Сергей Каткович Опубликовано 9 января, 2019 Автор Опубликовано 9 января, 2019 Выполнил. AdwCleanerS01.txt
SQ Опубликовано 10 января, 2019 Опубликовано 10 января, 2019 Пришел ответ по карантину, найдено новое вредоносное ПО: Michael.dll - Trojan-Spy.Win32.Agent.jsvx - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Сергей Каткович Опубликовано 10 января, 2019 Автор Опубликовано 10 января, 2019 Выполнил FRST.txt Addition.txt
SQ Опубликовано 10 января, 2019 Опубликовано 10 января, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjokomechjchekkcnccjpmgakmjgoaom [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gjokomechjchekkcnccjpmgakmjgoaom [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION CHR Extension: (Adblocker for Youtube™) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gkegldnjiebaagebdcoglmebpgbaljdn [2019-01-05] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== ATTENTION CHR HKLM-x32\...\Chrome\Extension: [ebkgajjadgojjkgacfgjpnpgagpecpjp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fppjhfcgnalgfiimdflmikpifodndljf] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gbnhehnpnbiioheicppmmmjaekcdfigc] - hxxps://clients2.google.com/service/update2/crx File: C:\WINDOWS\system32\DrtmAuth8.bin File: C:\WINDOWS\system32\DrtmAuth7.bin File: C:\WINDOWS\system32\DrtmAuth6.bin File: C:\WINDOWS\system32\DrtmAuth5.bin File: C:\WINDOWS\system32\DrtmAuth4.bin File: C:\WINDOWS\system32\DrtmAuth3.bin File: C:\WINDOWS\system32\DrtmAuth2.bin File: C:\WINDOWS\system32\DrtmAuth1.bin 2019-01-05 01:57 - 2019-01-05 02:30 - 000000000 ____D C:\Program Files\D8D4SW12AR Folder: C:\Users\Сергей\AppData\Roaming\Mozilla 2019-01-05 01:52 - 2019-01-05 02:28 - 000000000 ____D C:\Program Files\6MYQYWZ3MS Folder: C:\ProgramData\WindowsMenu Folder: C:\ProgramData\{C7701419-D88A-E43F-F2C5-BC68F222E539} Folder: C:\ProgramData\{BE9080F9-4C6A-9DDF-1251-5C1112B60540} Folder: C:\Program Files (x86)\Creating 2019-01-05 01:52 - 2019-01-05 01:56 - 000722944 _____ C:\Users\Сергей\AppData\Local\sham.db Folder: C:\Users\Сергей\AppData\Local\WhiteClick LLC 2019-01-05 01:52 - 2019-01-05 01:52 - 002036078 _____ C:\Users\Сергей\AppData\Local\IsBam.tst 2019-01-05 01:52 - 2019-01-05 01:52 - 000140800 _____ C:\Users\Сергей\AppData\Local\installer.dat 2019-01-05 01:52 - 2019-01-05 01:52 - 000126464 _____ C:\Users\Сергей\AppData\Local\noah.dat 2019-01-05 01:52 - 2019-01-05 01:52 - 000070896 _____ C:\Users\Сергей\AppData\Local\Config.xml 2019-01-05 01:52 - 2019-01-05 01:52 - 000005568 _____ C:\Users\Сергей\AppData\Local\md.xml 2019-01-05 01:52 - 2019-01-05 01:52 - 000000003 _____ C:\Users\Сергей\AppData\Local\wbem.ini FirewallRules: [{DD35B630-4DAF-4200-AE9F-F2C607F95473}] => (Allow) 㩃啜敳獲템峩灁䑰瑡屡潒浡湩屧楶睥癜敩啷攮數 No File FirewallRules: [{6C24D71B-303F-41CF-9070-072A24F0D422}] => (Allow) 㩃啜敳獲템峩灁䑰瑡屡潒浡湩屧楶睥癜敩硥e No File FirewallRules: [{A9C0812E-D2F1-49DE-BFA6-9931CF8D934C}] => (Allow) C:\Users\Сергей\EGuwYSSEkHo.exe No File FirewallRules: [{47FC4ACA-E440-410D-8EAD-2BA70381E546}] => (Allow) C:\WINDOWS\SysWOW64\kKsEBYHCaeYu.exe No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Необходимо Вам сменить все пароли, так как ранее было найдено вредоносное ПО типа Trojan-Spy.
Сергей Каткович Опубликовано 10 января, 2019 Автор Опубликовано 10 января, 2019 (изменено) Выполнил Fixlog.txt Изменено 10 января, 2019 пользователем Сергей Каткович
SQ Опубликовано 10 января, 2019 Опубликовано 10 января, 2019 Уточните пожалуйста, вам знакомо следующее: C:\WINDOWS\system32\DrtmAuth8.bin C:\WINDOWS\system32\DrtmAuth7.bin C:\WINDOWS\system32\DrtmAuth6.bin C:\WINDOWS\system32\DrtmAuth5.bin C:\WINDOWS\system32\DrtmAuth4.bin C:\WINDOWS\system32\DrtmAuth3.bin C:\WINDOWS\system32\DrtmAuth2.bin C:\WINDOWS\system32\DrtmAuth1.bin Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: Zip: C:\Program Files (x86)\Creating\539198255.exe.config;C:\Program Files (x86)\Creating\638455640.exe.config;C:\WINDOWS\system32\DrtmAuth8.bin;C:\WINDOWS\system32\DrtmAuth7.bin;C:\WINDOWS\system32\DrtmAuth6.bin;C:\WINDOWS\system32\DrtmAuth5.bin;C:\WINDOWS\system32\DrtmAuth4.bin;C:\WINDOWS\system32\DrtmAuth3.bin;C:\WINDOWS\system32\DrtmAuth2.bin;C:\WINDOWS\system32\DrtmAuth1.bin 2019-01-05 01:52 - 2017-12-14 14:42 - 000001860 ____A [DEB1B377008E7C7A9BC805B740245D6B] () C:\Program Files (x86)\Creating\539198255.exe.config 2019-01-05 01:57 - 2017-12-14 14:42 - 000001860 ____A [DEB1B377008E7C7A9BC805B740245D6B] () C:\Program Files (x86)\Creating\638455640.exe.config C:\Program Files (x86)\Creating End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер возможно будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
Сергей Каткович Опубликовано 10 января, 2019 Автор Опубликовано 10 января, 2019 Уточните пожалуйста, вам знакомо следующее: C:\WINDOWS\system32\DrtmAuth8.bin C:\WINDOWS\system32\DrtmAuth7.bin C:\WINDOWS\system32\DrtmAuth6.bin C:\WINDOWS\system32\DrtmAuth5.bin C:\WINDOWS\system32\DrtmAuth4.bin C:\WINDOWS\system32\DrtmAuth3.bin C:\WINDOWS\system32\DrtmAuth2.bin C:\WINDOWS\system32\DrtmAuth1.bin Без понятие, что это такое. Fixlog.txt
SQ Опубликовано 10 января, 2019 Опубликовано 10 января, 2019 Отправил карантин в Вир.лаб- Покажите лог TDSSKillerФайл C:\TDSSKiller.***_log.txt приложите в теме.(где *** - версия программы, дата и время запуска.)P.S. В случае нахождения угрозы, пожалуйста самостоятельно не удаляйте.
SQ Опубликовано 11 января, 2019 Опубликовано 11 января, 2019 Привет ответ, о том что не найдено вредоносного ПО в последнем карантине, уточните пожалуйста вам известен следующий каталог? C:\Program Files (x86)\Creating с указанными файлам: C:\Program Files (x86)\Creating\539198255.exe.config C:\Program Files (x86)\Creating\638455640.exe.config Если да, то я могу указать скрипт по восстановлению их из карантина, сообщите пожалуйста об этом.
Сергей Каткович Опубликовано 11 января, 2019 Автор Опубликовано 11 января, 2019 Привет ответ, о том что не найдено вредоносного ПО в последнем карантине, уточните пожалуйста вам известен следующий каталог? C:\Program Files (x86)\Creating Здравствуйте, нет, я это сам не устанавливал. Выполнил. Угроз не найдено. TDSSKiller.3.1.0.25_11.01.2019_11.53.19_log.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти