ТОлько вы опять прислали не то, возможно так будет проще. Просто заархивируйте папкуСообщение от maximpn
загрузите на обменник и пришлите ссылку мне в ЛС.Код:C:\FRST\Hives\
- - - - -Добавлено - - - - -
Остальным посылать не обязательно, пришлите мне, а нужный файл я передам.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ОК. Спасибо. Пришлю обязательно, только не ранее чем ререз сутки, поскольку исчерпал лимит личных сообщений на форуме:
Сообщение форума
За 1440 минут(ы) вы можете отправить не более 5 сообщений.
Прицепил.
1) Отключите защиту др. Веба (а то он очень рьяно охраняет изменения в реестре).
2) Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis
если файлов \dc-tr83-0002\Scripts\NameBlock.vbs и \dc-tr83-0002\Scripts\NameUnblock.vbs уже нет, то ещё пофиксьте строкиКод:F2-32 - HKLM\..\WinLogon: [Shell] = O2-32 - HKLM\..\BHO: Dashlane BHO - {42D79B50-CC4A-4A8E-860F-BE674AF053A2} - (no file) O4 - HKCU\..\Run: [YandexDisk2] = C:\Users\mpyanykh\AppData\Roaming\Yandex\YandexDisk2\YandexDisk2.exe -autostart (file missing) O4 - HKU\.DEFAULT\..\Run: [Dashlane] = C:\Users\mpyanykh\AppData\Roaming\Dashlane\Dashlane.exe autoLaunchAtStartup (file missing) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Отправить в OneNote: (default) = C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll (file missing) O9-32 - Tools menu item: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: &Отправить в OneNote - (no file) O22 - Task: Driver Booster SkipUAC (mpyanykh) - C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing) O23 - Service S2: AmmyyAdmin_1300 - C:\Users\mpyanykh\Downloads\AA_v3.exe (file missing) -service -lunch O23 - Service S2: AmmyyAdmin_1F90 - C:\Users\mpyanykh\Downloads\AA_v3.exe (file missing) -service -lunch O23 - Service S2: AmmyyAdmin_1F9C - D:\AA_v3.2.exe (file missing) -service -lunch O23 - Service S2: AmmyyAdmin_20E4 - C:\Users\mpyanykh\Downloads\AA_v3.exe (file missing) -service -lunch O23 - Service S2: AmmyyAdmin_27D0 - C:\Users\mpyanykh\Downloads\AA_v3.exe (file missing) -service -lunch
3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Код:O22 - Task: Запись имени пользователя и времени блокирования в Описание (атрибут AD) - \dc-tr83-0002\Scripts\NameBlock.vbs (file missing) O22 - Task: Запись имени пользователя и времени разблокирования в Описание (атрибут AD) - \dc-tr83-0002\Scripts\NameUnblock.vbs (file missing)
4) Проверьте проблему.
Сделано.
Сделано.
Сделано
Файл успешно загружен
MD5 карантина: F238B2E6140DA20460FC0DE8F8FDA2D3
Размер файла: 80614655 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщениеПока тестирую. Она (проблема) как правило проявляется не сразу, а спустя некоторое время.
- - - - -Добавлено - - - - -
Потестирую некоторое время. В любом случае, о результатах, отпишусь.
- - - - -Добавлено - - - - -
Проявился, зараза. Все тоже самое. Обнаруживает угрозу: Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Registry\Machine\Software\Wow6432Node\Mic rosoft\Windows NT\CurrentVersion\Winlogon\Userinit
28.09.2018 17:51 SpIDer Guard Обнаружена угроза Объект: Userinit Угроза: REG:SUSPICIOUS.UserinitCorrupted Действие: Вылечено Путь: \Registry\Machine\Software\Wow6432Node\Microsoft\W indows NT\CurrentVersion\Winlogon\Userinit
Последний раз редактировалось maximpn; 28.09.2018 в 18:04.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
а если запустить быструю проверку? В теории после быстрой проверки сразу должно на это сработать если есть.
И для контроля сделайте и прикрепите ещё лог HijackThis из папки ..\AutoLogger\HiJackThis
Лог полного образа UVS выкладывать?
Приложил.
- - - - -Добавлено - - - - -
Прикрепил.
А зачем его тогда делать?
Давно базы обновляли?---------------------------- [ Antivirus_WMI ] ----------------------------
Dr.Web Security Space (выключен и устарел)
Это лучше обновить:
А это удалить:Adobe Acrobat Reader DC - Russian v.15.010.20060 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Yandex v.18.9.0.3467 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^---------------------------- [ UnwantedApps ] -----------------------------
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Uninstaller v.7.4.0.8 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WBR,
Vadim
Выложил.
- - - - -Добавлено - - - - -
Регулярно на автомате.
- - - - -Добавлено - - - - -Dr/ Securite Space 12.00
Последнее обновление 29.09.18 21:33.
Удалил.
- - - - -Добавлено - - - - -
Останавливал антивирусную защиту во время работы SecurityCheck и UVS
- - - - -Добавлено - - - - -
Все обновил. Но во время обновления акробата после проверки обновления пришлось еще один раз обновиться до V/18.11.2063 акробат ридер DS. Но вовремя установки этого обновления монитор антивирусник сработал на- - - - -Добавлено - - - - -29.09.2018 22:19 Монитор активности Обнаружена угроза Объект: explorer.exe Угроза: DPH:Trojan.ExecMimic Действие: Перемещено Путь: C:\Users\mpyanykh\AppData\Local\Temp\scoped_dir666 4_23668\explorer.exe
Перегрузился. Запустил быструю проверку вебера. О результатах отпишусь.
- - - - -Добавлено - - - - -
r. Web при быстрой проверке опять обнаружил в реестре и блокировал подозрительный процесс - Userini.
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Userinit
Промежуточное резюме:
1. Предупреждение Dr. Web связано с нестандартным ключом реестра в веткеСам файл userinit.exe легитимный, с цифровой подписью Microsoft, опасности не представляет. Точно так же Dr. Web реагирует на любые изменения в файле hosts, и ничего с этим параноидальным поведением, скорее всего, не сделать.Код:HKEY_LOCAL_MACHINE\Backup\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
2. Какое приложение меняет ключ реестра - вопрос интересный, можно попробовать отследить через аудит реестра.
И я так и жду ]Сделайте полный образ автозапуска uVS, если не лезет во вложения - загрузите в доступное облачное хранилище или на файлообменник.
WBR,
Vadim
Как оказалось, у меня закончилось свободное место для приатачивания файлов на форуме во вложения. Как его почистить ещё не разобрался. Поэтому файл NB-TR83-1601_2018-09-29_21-08-18_v4.0.20 выложил здесь здесь А файл NB-TR83-1601_2018-09-30_10-03-32_v4.0.20 здесь
- - - - -Добавлено - - - - -
у меня такой командой, от имени администратора, в 10 secedit /refreshpolicy MACHINE_POLICY процесс распространения групповой политики не запускается
maximpn, я правильно понял, если пофиксить ту строчки в HiJackThis, то до перезагрузки (если сразу проверить др. Вебом) вирус не находится?
И также если сделать повторный лог HiJackThis сразу после фикса, то в нём этой строки нету?
Чтобы применить политики, можно просто перезагрузку сделать.
Отключите до перезагрузки антивирус. Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v4.0.20 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c regt 12 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE delref %SystemDrive%\USERS\MPYANYKH\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\GPOLJLMAMGMHMMNHHPLFFEHJLLJNILPH\1.1.17.1220_0\SEARCH WEB delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\WPS OFFICE\9.1.0.4947\UTILITY\UNINST.EXE delref %SystemDrive%\USERS\MPYANYKH\DOWNLOADS\НОВАЯ ПАПКА\OFFICE PROFESSIONAL PLUS 2010 14.0.4763.1000 32BIT64BIT VL MULTI-6\MEDICINE\KMSAUTO HELPER XP V1.0.2\KMSAUTO HELPER.EXE delref %SystemDrive%\USERS\MPYANYKH\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\PROFILE 1\EXTENSIONS\[email protected] del %SystemDrive%\USERS\AVINDYURIN\DESKTOP\ОНЛАЙН-РЕГИСТРАЦИЯ ПРОДУКТА ASUS.LNK apply deltmp restart
Компьютер перезагрузится.
Сообщите, что с проблемой.
WBR,
Vadim
Сделал.
Теперь после проверки антивирусником в реестре вместо одного видиозменения, стало 3. Картинка вот такая выложил скрин:
Придирчивый он,зелёный антивирус...
Сделайте лог свежим HijackThis.
WBR,
Vadim
После выполнения скрипта последующего обезвреживания антивирусом и перезагрузки не грузится рабочий стол. Синий экран. Как восстановить?
maximpn, а в безопасном режиме тоже не грузится?
Уважаемый(ая) maximpn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
