Перейти к содержанию

Рекомендуемые сообщения

Касперский Интернет Секьюрити не может удалить Trojan.Win32.SEPEH.gen

Лечение перезагрузкой не помогает.

CollectionLog-2019.06.22-22.18.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{59A21E14-8B96-420E-950A-FB37381BBAD5}: [URL] = http://www.mysearchresults.com/search?c=3513&t=07&q={searchTerms} - Search Here
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C631A4E-C31A-4087-84D4-C0C08EA5F625}: [URL] = http://websearch.ask.com/redirect?client=ie&tb=W3I4&o=41648006&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^A9K&apn_dtid=^YYYYYY^YY^RU&apn_uid=31677442-9A37-42B2-A6C2-5F9112F11AFB&apn_sauid=C30D1ABD-33E1-4A67-B799-7449C822F480 - Ask Search
O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: DTChk - C:\Users\Public\Util\DTChk.exe (file missing)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
O22 - Task: {EC43F568-71AD-427E-97D0-FBF58E7D3F45} - C:\WINDOWS\system32\pcalua.exe -a C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe -c  -ptid=exp

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('ibinldr');
 SetServiceStart('ibinldr', 4);
 QuarantineFile('C:\Users\Public\Util\DTChk.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','');
 QuarantineFile('C:\WINDOWS\System32\drivers\ibinldr.sys','');
 DeleteSchedulerTask('{EC43F568-71AD-427E-97D0-FBF58E7D3F45}');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму



- Подготовьте лог AdwCleaner и приложите его в теме.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё сделал по вашей инструкции.

Лог AdwCleaner нужен или это не обязательно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё сделал по вашей инструкции.

Лог AdwCleaner нужен или это не обязательно?

Желательно, так как лечение не закончено.

 

%SystemRoot%\System32\drivers\ibinldr.sys - Trojan.Win64.Winsecsrv.h

 

P.S. В карантине обнаружено новое вредоносное ПО, которое в ближайщее время будет добавлена в антивирусные сигнатуры.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Анализировать и на основании анализа дадим вам скрипт лечения.

  • Спасибо (+1) 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-4240674445-931442869-4162643105-1000\...\Policies\Explorer: []
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {17AAFD8A-0D4B-4E53-B6A2-996F635ED281} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {24996FB5-41F2-4BF1-BD2D-78B189A1DB17} - \WPD\SqmUpload_S-1-5-21-4240674445-931442869-4162643105-1000 -> No File <==== ATTENTION
    Task: {6DB4253F-4E64-418D-8B40-102427FA71B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {9034E7FF-B999-4AC3-B6E4-2C5A823E302B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {997B6537-902D-4679-8D00-4A921524592A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {A39E05E9-6292-4240-B16C-DE7A3E18E5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {BC003F2B-645F-400F-BD9E-B6B5BF504164} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {C7039046-B9E2-4663-ACDF-BE643D999DA9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {C9FEDB68-B4E8-411C-98F7-35A25A345C43} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {D01E098D-8427-4EC2-9769-1A7C91BDDFB1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {E09D1D83-E440-4AA3-BD55-B415F5A8F4FC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {EF078913-B4CB-42DE-8AAE-701F3DCD826A} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    Task: {F4F7E5FD-0DFA-436B-AA57-464F3B4BAAB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {F9E1C103-D9C1-469E-BB4F-4F94E100F96E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    Toolbar: HKU\S-1-5-21-4240674445-931442869-4162643105-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    FF HKLM\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
    FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
    CHR HKLM-x32\...\Chrome\Extension: [echeiocnbggcacegkopjcllmaglbocni] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    File: C:\Program Files (x86)\BCL Technologies\easyConverter SDK 3\Common\becldr.exe
    Folder: C:\ProgramData\fb
    File: C:\WINDOWS\system32\AutoUpdate.exe
    HKU\S-1-5-21-4240674445-931442869-4162643105-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    FirewallRules: [{AB65FF1B-7F57-4BE5-9FB4-C99F9EA8B3EF}] => (Allow) %ProgramFiles%\Zune\Zune.exe No File
    FirewallRules: [{C2BF5BAF-C755-4345-9D0F-B180C11E859E}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{2C3C1484-B092-40B0-B97F-2237E7CEACDE}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{663A8EBD-9EB1-4D99-942A-1CB622DFA4FD}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{D05D367F-3F9B-4652-BDC0-FB57BE55AE46}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{98AEAF5B-BDD4-4C2A-BC1B-018BFBE0CE0B}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{03210738-5B21-4EA2-8E47-13CAB91A816D}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{2DB4FF48-C4F2-4427-A149-1DBBB9F5C339}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    FirewallRules: [{524C07C1-C471-47D2-9B12-6226FB2B6E50}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отправил Fixlog


При сохранении fixlist.txt забыл выставить юникод, Сохранил в ANCI.

Это имеет значение? Надо переделать?

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    Zip: C:\ProgramData\fb\Help.dll;C:\WINDOWS\system32\AutoUpdate.exe
    C:\ProgramData\fb
    File: C:\WINDOWS\system32\AutoUpdate.exe
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...