Перейти к содержанию

Снова подловил вирус :(


Руслан Исхаков

Рекомендуемые сообщения

Руслан Исхаков

31354ff0b5530432.jpgСегодня увидел это окошечко в своем Яндекс браузере. На протяжении около месяца замечал какую то странную активность в нем, то gmail не открывается по причине невозможного безопасного соединения, то Adwcleaner находит зловреды связанные с ним, скрин скинуть не могу вчера только его удалил, а он спавнится в течении трех дней после удаления(примерно). Проверил компьютер drwebcureit нашел пару файликов, я их удалил. Лог прикрепил.

CollectionLog-2019.02.22-14.14.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Кнопка "Яндекс" на панели задач

Чистилка

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\boy.exe', '');
 DeleteFile('C:\Windows\System32\boy.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis:

F2-32 - HKLM\..\WinLogon: [Shell] = 
F2-32 - HKLM\..\WinLogon: [UserInit] = 
F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
Руслан Исхаков

Re: [KLAN-9656043221] 



Thank you for contacting Kaspersky Lab 

The files have been scanned in automatic mode. 

No information about the specified files can be found in the antivirus databases: 
quarantine.zip 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. 

This is an automatically generated message. Please do not reply to it. 

Anti-Virus Lab, Kaspersky Lab HQ 




Все что нашел в Hijack this пофиксил, некоторых пунктов не оказалось, прикрепил скрин.

CollectionLog-2019.02.22-15.23.zip

post-47991-0-08556700-1550831152_thumb.png

post-47991-0-82981900-1550831154_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Нет. Этот файл AdwCleaner[C39].txt покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Этот файл AdwCleaner[C39].txt покажите

Обратите внимание, символ [C], а не .
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0e7369aa-fa39-4d8f-8145-2461ad88b357} <==== ATTENTION (Restriction - IP)
    Toolbar: HKU\S-1-5-21-3479573803-4251318315-2286022399-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    CHR HKU\S-1-5-21-3479573803-4251318315-2286022399-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] - hxxp://clients2.google.com/service/update2/crx
    2019-02-22 13:09 - 2019-02-22 14:51 - 000000000 ____D C:\ProgramData\Чистилка
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Руслан Исхаков

C39 делал сегодня в обед, но там не было того вредного файла, который обычно. А уже в c41 он есть, тоже прикрепил, сканировал только что.

AdwCleanerC41.txt

AdwCleanerC39.txt

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...