Снова подловил вирус :(

[Руслан Исхаков]

Сегодня увидел это окошечко в своем Яндекс браузере. На протяжении около месяца замечал какую то странную активность в нем, то gmail не открывается по причине невозможного безопасного соединения, то Adwcleaner находит зловреды связанные с ним, скрин скинуть не могу вчера только его удалил, а он спавнится в течении трех дней после удаления(примерно). Проверил компьютер drwebcureit нашел пару файликов, я их удалил. Лог прикрепил.

CollectionLog-2019.02.22-14.14.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Кнопка "Яндекс" на панели задач

Чистилка

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\boy.exe', '');
 DeleteFile('C:\Windows\System32\boy.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

F2-32 - HKLM\..\WinLogon: [Shell] = 
F2-32 - HKLM\..\WinLogon: [UserInit] = 
F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Руслан Исхаков]

Re: [KLAN-9656043221] 



Thank you for contacting Kaspersky Lab 

The files have been scanned in automatic mode. 

No information about the specified files can be found in the antivirus databases: 
quarantine.zip 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it. 

Anti-Virus Lab, Kaspersky Lab HQ 



Все что нашел в Hijack this пофиксил, некоторых пунктов не оказалось, прикрепил скрин.

CollectionLog-2019.02.22-15.23.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Руслан Исхаков]

Очищать?

AdwCleanerS40.txt

[Sandor]

Нет. Этот файл AdwCleaner[C39].txt покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Руслан Исхаков]

Вот все файлы

AdwCleanerS40.txt

FRST.txt

Addition.txt

[Sandor]

Этот файл AdwCleaner[C39].txt покажите

Обратите внимание, символ [C], а не .

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0e7369aa-fa39-4d8f-8145-2461ad88b357} <==== ATTENTION (Restriction - IP)
  Toolbar: HKU\S-1-5-21-3479573803-4251318315-2286022399-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
  CHR HKU\S-1-5-21-3479573803-4251318315-2286022399-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] - hxxp://clients2.google.com/service/update2/crx
  2019-02-22 13:09 - 2019-02-22 14:51 - 000000000 ____D C:\ProgramData\Чистилка
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Руслан Исхаков]

C39 делал сегодня в обед, но там не было того вредного файла, который обычно. А уже в c41 он есть, тоже прикрепил, сканировал только что.

AdwCleanerC41.txt

AdwCleanerC39.txt

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Руслан Исхаков]

Не могу сейчас точно сказать, завтра отпишусь.