Поймали рекламный вирус. Посмотрите, пожалуйста, логи
Поймали рекламный вирус. Посмотрите, пожалуйста, логи
Уважаемый(ая) spb_dqz, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; StopService('roqenufe'); StopService('SSFK'); StopService('swsedrvr_vt_1_10_0_25'); StopService('WindowsMangerProtect'); StopService('zumycixe'); TerminateProcessByName('c:\program files\sfk\ssfk.exe'); QuarantineFile('C:\Documents and Settings\Танюша\Application Data\WindowsUpdater\Updater.exe',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Birds\birds365.exe',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\BrowserMart.dll',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\oig.dll',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\{077A2182-4DCF-53BF-637C-C5413CB36D08}.dat',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\config.json',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\coprofit_stb.exe',''); QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_025010167\upgmsd_ru_025010167.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Tmp0x0x\ProtectWindowsManager.exe',''); QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\jnsr23A.tmp',''); QuarantineFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\knse22F.tmpfs',''); QuarantineFile('C:\Program Files\gmsd_ru_025010167\gmsd_ru_025010167.exe',''); QuarantineFile('c:\program files\sfk\ssfk.exe',''); QuarantineFile('C:\Program Files\SXR Software\StatWin\ExecStat.exe',''); QuarantineFile('C:\PROGRA~1\GROOVE~1\Imipqom.bat',''); QuarantineFile('C:\WINDOWS\system32\drivers\cherimoya.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\swsedrvr_vt_1_10_0_25.sys',''); DeleteService('roqenufe'); DeleteService('SSFK'); DeleteService('swsedrvr_vt_1_10_0_25'); DeleteService('WindowsMangerProtect'); DeleteService('zumycixe'); DeleteFile('C:\Documents and Settings\Танюша\Application Data\WindowsUpdater\Updater.exe','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\BrowserMart.dll','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\oig.dll','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\{077A2182-4DCF-53BF-637C-C5413CB36D08}.dat','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\config.json','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\coprofit_stb.exe','32'); DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_025010167\upgmsd_ru_025010167.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Tmp0x0x\ProtectWindowsManager.exe','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\jnsr23A.tmp','32'); DeleteFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\knse22F.tmpfs','32'); DeleteFile('C:\Program Files\gmsd_ru_025010167\gmsd_ru_025010167.exe','32'); DeleteFile('C:\Program Files\SFK\SSFK.exe','32'); DeleteFile('C:\PROGRA~1\GROOVE~1\Imipqom.bat','32'); DeleteFile('C:\WINDOWS\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\WINDOWS\Tasks\Browser Mart.job','32'); DeleteFile('C:\WINDOWS\Tasks\Browser Mart2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Rujroft.job','32'); DeleteFile('C:\WINDOWS\Tasks\WindowsUpdater.job','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','coprofit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010167','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_025010167.exe','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово. Вирус пока не удален
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION CHR HKLM\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx 2016-02-11 13:41 - 2016-02-23 13:41 - 00000370 _____ C:\WINDOWS\Tasks\FreeVPN.job 2016-02-11 13:41 - 2016-02-11 13:41 - 00000000 ____D C:\Documents and Settings\Танюша\Application Data\FreeVPN 2016-02-08 15:29 - 2015-12-06 12:23 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Unity C:\Documents and Settings\Танюша\Local Settings\Temp\16C.tmp.exe C:\Documents and Settings\Танюша\Local Settings\Temp\268.tmp.exe C:\Documents and Settings\Танюша\Local Settings\Temp\77.tmp.exe C:\Documents and Settings\Танюша\Local Settings\Temp\FreeVPNSetup.exe Task: C:\WINDOWS\Tasks\FreeVPN.job => C:\Documents and Settings\Танюша\Application Data\FreeVPN\FreeVPN.exe <==== ATTENTION AlternateDataStreams: C:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} AlternateDataStreams: C:\Documents and Settings\Танюша:id [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_005010168.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_025010167.exe] C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_005010168\upgmsd_ru_005010168.exe EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пока не помогло (
- Смотрите на роутере и устройствах, не приписались ли вредоносные ДНС.
- Приложите новые логи утилиты FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
через этот роутер работают еще 3 машины. Проблемы только у меня
Указанные ниже настройки принадлежат Вашему роутеру?
Что из следующего ставили сами?Код:Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 192.168.0.1 Tcpip\..\Interfaces\{84B77FAD-F7FE-4512-AAF4-420D54949280}: [DhcpNameServer] 192.168.0.1 192.168.0.1
Код:2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom 2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Nichrome 2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Mozilla 2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Chromium
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {057fe040-25db-11e5-8ea0-10feed253036} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {5af910c1-13d2-11e5-b06d-9f698bc3406b} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {62d6e5c4-2132-11e5-a87e-0016e654c56c} - J:\Setup.exe HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {7e8d174b-0fde-11e5-a137-0016e654c56c} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {7e8d174e-0fde-11e5-a137-0016e654c56c} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {bf06d0c5-130f-11e5-9147-0016e654c56c} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {bf06d0c7-130f-11e5-9147-0016e654c56c} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {d3a8cfc5-2056-11e5-9635-c1cb289d3e03} - "J:\Install MegaFon Internet.exe" HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {f5a8fb15-4da1-11e3-9153-806d6172696f} - I:\setup.exe ManualProxies: FF Plugin HKU\S-1-5-21-1409082233-630328440-1417001333-1003: @unity3d.com/UnityPlayer,version=1.0 -> C:\Documents and Settings\Танюша\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll [No File] CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx StartMenuInternet: chrome.exe - Chrome.exe Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Nichrome Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Mozilla Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Chromium Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Согласно логу FRST браузер chromе хранит данные в следующем каталоге:
Но Ваш ярлык Xpoм.lnk ссылается на:Код:CHR Profile: C:\Documents and Settings\Танюша\Local Settings\Application Data\Google\Chrome\User Data\Default
Проблема воспроизводиться во всех браузерах?Код:C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom\Application\chrome.exe
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сейчас запустил IE, в нем тоже высветилась реклама от cаpricornus. Что интересно, в ВК реклама не появляется. в яндекспочте тоже, а вот к примеру стоит открыть ваш сайт, и сразу все виснет, тупит и вылезает реклама. Отправить сообщение - целая песня. Особенно с вложениями
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\DNSAPI.dll', ''); QuarantineFile('C:\WINDOWS\system32\Isauaqnex.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe','32'); DeleteFile('C:\WINDOWS\system32\Isauaqnex.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hktray','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Приложите новый лог AVZ.
Покажите результат следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run as Administrator):
Сообщите результат.Код:sfc /scannow
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
как-то так...
Подмена системного файла:
Важно: Следующее решение, написано, только для Вашего случая (spb_dqz), не стоит его применять для других схожих случаев.Код:C:\WINDOWS\system32\DNSAPI.dll - Trojan.Win32.Patched.qw
Перед начало убедитесь в том, что отсутствовал файл SFCFix.txt на рабочем столе.
----------------------------------------
Скачайте SFCFix.exe(by niemiro) и сохраните на рабочем столе.
Скачайте SFCFix.zip и сохраните на рабочем столе.
Убедитесь, чтобы название файла было SFCFix.zip - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: SFCFix.exe и SFCFix.zip.
нажмите мышкой на файл SFCFix.zip и переместите на SFCFix.exe и отпустите мышь.
SFCFix.exe начнет процесс исправления.
По окончанию создается файл: SFCFix.txt.
Приложите полученный отчет в следующем сообщение.
----------------------------------------
Приложите новый лог AVZ.
Найдите установочный диск от Windows XP, так как рекомендуется проверить целостность системных файлов.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\dnsapi.dll - Trojan.Win32.Patched.qw
Уважаемый(ая) spb_dqz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.