Sandor Опубликовано 27 февраля, 2019 Опубликовано 27 февраля, 2019 Приведут, т.к. через уязвимости система заражается по новой. Включите для начала хоть только UAC, затем: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE bl C720AC483A5752C2B69945A8AD673162 1109494 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7 zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\192.168.0.190\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\DOC001.EXE chklst delvir ;---------command-block--------- deltsk %SystemDrive%\USERS\АДМИНИСТРАТОР\DOWNLOADS\DOTNETFX35.EXE deltsk %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\\MPCMDRUN.EXE delref F:\AUTORUN.EXE delref %SystemDrive%\TEMP\RAR$EXA0.522\EXE\PROTCORE.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Ещё один свежий лог uVS сделайте.
Павел Чередниченко Опубликовано 27 февраля, 2019 Автор Опубликовано 27 февраля, 2019 @Sandor, сделал, собрал TORGI_2019-02-27_11-45-19_v4.1.2.7z
Sandor Опубликовано 27 февраля, 2019 Опубликовано 27 февраля, 2019 Уже лучше. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Павел Чередниченко Опубликовано 27 февраля, 2019 Автор Опубликовано 27 февраля, 2019 (изменено) @Sandor, готово. Но он не увидел, ничего связанного с моей проблемой, как мне кажется... AdwCleanerS00.txt Изменено 27 февраля, 2019 пользователем Павел Чередниченко
regist Опубликовано 27 февраля, 2019 Опубликовано 27 февраля, 2019 Программы/расширения от Mail.ru и Yandex используете?
Павел Чередниченко Опубликовано 27 февраля, 2019 Автор Опубликовано 27 февраля, 2019 @regist, Да, Яндекс браузер
Sandor Опубликовано 27 февраля, 2019 Опубликовано 27 февраля, 2019 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве.
Павел Чередниченко Опубликовано 27 февраля, 2019 Автор Опубликовано 27 февраля, 2019 @Sandor, результаты AdwCleanerC01.txt AdwCleanerS01.txt
regist Опубликовано 27 февраля, 2019 Опубликовано 27 февраля, 2019 Сделайте свежий образ автозапуска.
Павел Чередниченко Опубликовано 28 февраля, 2019 Автор Опубликовано 28 февраля, 2019 @regist, готово TORGI_2019-02-28_10-33-31_v4.1.2.7z
regist Опубликовано 28 февраля, 2019 Опубликовано 28 февраля, 2019 Дополнительно сделайте такой лог: Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . + потом выполните Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG regt 37 ;---------command-block--------- zoo %Sys32%\ADPYEGR.DLL delall %Sys32%\ADPYEGR.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_1\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GGFFMGAELFGIHLBPICEAICKAJBJBHIGE\8.24.0_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_1\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM\1.0.0.2_0\НОВАЯ ВКЛАДКА – ЯНДЕКС delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\4.1.68_0\ПУЛЬС delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM\1.0.0.5_0\НОВАЯ ВКЛАДКА – ЯНДЕКС delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {AD7BA4D6-DE06-4D5D-BA2B-E1FD7BEE1E8F}\[CLSID] delref {92C42E5C-FADC-55DF-B5A6-B7F9953318E2}\[CLSID] delref %SystemDrive%\USERS\АДМИНИСТРАТОР\DOWNLOADS\SETUPDWGTRUEVIEW2015_ENU_32BIT.SFX [1].EXE zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE delall %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.4\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.4\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\\MPCMDRUN.EXE delref {4D1088A8-889D-4BCF-D858-BAA758903AB6}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {91397D20-1446-11D4-8AF4-0040CA1127B6}\[CLSID] apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Павел Чередниченко Опубликовано 28 февраля, 2019 Автор Опубликовано 28 февраля, 2019 @regist, сделал @regist, 2019.02.28_ZOO_2019-02-28_14-56-16_378e30cba53103c7ec71c39cb4d6631a.7z сделал и еще до кучи снял автозапуск gmer_log.log TORGI_2019-02-28_15-03-00_v4.1.2.7z
regist Опубликовано 28 февраля, 2019 Опубликовано 28 февраля, 2019 Что с проблемой? + для контроля Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.
Павел Чередниченко Опубликовано 28 февраля, 2019 Автор Опубликовано 28 февраля, 2019 @regist, готово scan.txt
Sandor Опубликовано 28 февраля, 2019 Опубликовано 28 февраля, 2019 Всё найденное можно удалить (поместить в карантин). После удаления просканируйте ещё раз и покажите новый лог.
Рекомендуемые сообщения