[РЕШЕНО] Вирусы, зависание компьютера.

[eansmol 0]

Здравствуйте!

 

Компьютер проверен KVRT, найдены вирусы.

После лечения запустил Autologger.

 

 

 

CollectionLog-2019.10.10-12.30.zip

Изменено 10 октября, 2019 пользователем eansmol

[Sandor 807]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Smart Application Controller

Unity Web Player

Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "VhtCslJxjXTjuGA" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', '');
 DeleteFile('C:\Windows\Tasks\VhtCslJxjXTjuGA.job', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[eansmol 0]

1. Удалено нежелательное ПО

 

2. Выполнен скрипт в AVZ

 

3. По адресу newvirus@kaspersky.com получен ответ KLAN-11203900726

"Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

 

4. Логи собраны.

CollectionLog-2019.10.10-14.30.zip

[Sandor 807]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[eansmol 0]

Сканирование в AdwCleaner завершилось

AdwCleanerS00.txt

[Sandor 807]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[eansmol 0]

1. Повторное сканирование с помощью AdwCleaner выполнено.

 

2. Сканирование с помощью Farbar Recovery Scan Tool выполнено.

 

 

AdwCleanerC01.txt

FRST.txt

Addition.txt

[Sandor 807]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {28c23aa6-bb2c-11e7-be8b-1c497b03667d} - "F:\iLinker.exe" 
  HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f87-6709-11e7-be66-90489aca49dc} - "F:\setup.exe" 
  HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f96-6709-11e7-be66-90489aca49dc} - "G:\Autorun.exe" 
  HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {ef23ba27-6ded-11e7-be6d-1c497b03667d} - "E:\installer.exe" 
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {01DE4B91-72A4-42BB-B736-FE1E3C560C45} - System32\Tasks\Steam_x64-S-2-106-91 => "C:\Users\user\AppData\Roaming\MumboJumbo\CODEXi\Steam" [Argument = gtbot2014.] <==== ATTENTION
  Task: {7C3C414F-DBCA-4BF1-961A-60B20F6EC824} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe
  Task: {AFDE891E-E1EF-4962-A4B7-DBD4C0ABB477} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
  HKU\S-1-5-21-720443254-957065752-1208379274-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
  URLSearchHook: HKU\S-1-5-21-720443254-957065752-1208379274-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
  BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
  BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
  FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2018-10-12]
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=ffhp15.1.11.102&inline_hp_cnt=11956636
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR NewTab: Default ->  Active:"chrome-extension://beliehdniadoecbonbhlcgbdldccfigp/visual-bookmarks.html"
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] - hxxps://clients2.google.com/service/update2/crx
  U3 aswbdisk; no ImagePath
  S1 IMFCameraProtect; \??\C:\Windows\system32\drivers\IMFCameraProtect.sys [X]
  S3 IMFDownProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFDownProtect.sys [X]
  S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X]
  S3 IMFForceDelete; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFForceDelete.sys [X]
  S1 IMFMBRProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFMBRProtect.sys [X]
  S1 IMFSafeBox; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFSafeBox.sys [X]
  S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [X]
  S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUProcessFilter.sys [X]
  S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IURegistryFilter.sys [X]
  S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X]
  2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
  2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\ProgramData\IObit
  2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Program Files (x86)\IObit
  2019-10-06 12:07 - 2018-04-12 19:14 - 000000000 ____D C:\ProgramData\AVAST Software
  2019-10-01 11:25 - 2018-10-12 09:39 - 000000000 ____D C:\ProgramData\ProductData
  2018-04-12 19:04 - 2019-09-22 14:43 - 000000766 _____ () C:\Users\user\AppData\Local\uBar.lnk
  ShellIconOverlayIdentifiers: [                    IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152]
  FirewallRules: [{F4AFE690-90BB-4582-91E9-AD8E9BCB707D}] => (Allow) C:\Users\user\AppData\Local\Temp\DRPSu17\bin\tools\aria2c.exe No File
  FirewallRules: [{F948BC32-5F02-473C-B4D6-1BA23DEB4677}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
  FirewallRules: [{C9958A66-3323-4575-9430-65E07D55778F}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
  FirewallRules: [TCP Query User{D8F32C9E-8E8C-408F-85F5-5EB740A06ED2}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File
  FirewallRules: [UDP Query User{60FA1BBA-0FBB-482B-8403-0D3EC4555017}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File
  FirewallRules: [{F66A5ADF-2B20-463D-89AE-55E829DA8A8A}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File
  FirewallRules: [{5F86B38F-1D0D-4252-ACD0-2C318679F4F4}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File
  FirewallRules: [{864B9A39-0E04-4626-802D-4EA2D1A793B7}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File
  FirewallRules: [{70CA28A0-4572-4783-81F9-83A10F6E19A2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[eansmol 0]

Сделано

Fixlog.txt

[Sandor 807]

Что сейчас с проблемой?

[eansmol 0]

Зависания и разрывы связи с интернет пропали.

Долгая загрузка Windows осталась и Kaspersky Free

обнаружил подозрительные объекты

 

[Sandor 807]

Скачайте Malwarebytes' Anti-Malware. Установите и запустите.

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[eansmol 0]

Сделано.

Файл прикрепил

scan.txt

[Sandor 807]

Удалите (поместите в карантин) все, кроме двух последних

PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Проигнорировано пользователем, [254], [454830],1.0.12853

PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [254], [454830],1.0.12853

Так MBAM реагирует на поиск от mail.ru, являющийся дефолтным для русской версии браузера.

[eansmol 0]

Сделано.

Программа не запросила перезагрузку и не создала отчет о перемещении в карантин