Добрый день.
На компе был наплыв китайских вирусов - браузер, часы, архиватор и т.д.
Прошелся mbam-ом, AVZ, ZoneAlar-ом, в безопасном режиме - CureIt, вручную остановил несколько вирусных китайских служб, вычистил папки Temp, Tasks, Profiles (из мозиллы), удалил вирусные драйвера из папок inf и system32/drivers. Компьютер вроде работает, левых процессов не вижу.
Остались "следы": остановленные, но неудалившиеся службы с китайским описанием, китайское описание типов файлов (например, архивов). Ну и всякие мелочи, типа неправильных ярлыков на рабочем столе и т.п. Помогите, пожалуйста, долечить.
У меня подозрение, что стартом "атаки" стала автоматическая загрузка каких-то драйверов nvidia (по времени подходит). По крайней мере, две папки в Program Files "NVidia" и "NVIDIA corporation" меня очень смущают. Хозяйка ноутбука говорит, заражение пошло на ровном месте, при посещении сайта, с которого моя собственная жена смотрит сериалы уже пару месяцев без всяких вирусов (хотел написать адрес сайта, но выглядело бы как реклама).
Спасибо!
Нет ничего невозможного - есть маловероятное
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) indi, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Хозяйка говорит, ничего не ставила. Я в списке расширений таких не вижу, соответственно - удалить не могу.
ClearLink сделал, скрипт выполнил uVS, Html5 geolocation provider деинсталлировал.
При попытке единым махом очистить все в AdwCleaner - зависал намертво на этапе "удаление служб", пробовал раза 3, ждал по часу. В итоге сделал в 3 этапа - удалил все КРОМЕ служб, перезагрузился, удалил все службы (и записи реестра), кроме UCGuard, перезагрузился, удалил службу UCGuard и еще 4 записи реестра. Поэтому вместо 1 лога получилось 3.
Что в остатке: описание архивов до сих пор иероглифами (возможно, еще какие-нибудь типы файлов пострадали). В AdwCleaner осталась 1 угроза, которая не удаляется (запись реестра, после рестарта появляется снова). Лог приложил (который [S6]).
При запуске Chrome выдал мне, что установлено расширение Mail.ru, и некоторые настройки были изменены сторонней программой. До этого 2-3 дня работал нормально.
П.С. Прочитал еще раз инструкцию, понял, что забыл поставить галочки на Сброс политик IE и Chrome. Сделал.
У меня вопрос - может, проще (и быстрее) будет с нуля новую систему поставить, чем эту вылечить?
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => No File
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO-x32: No Name -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2804603751-3827288649-2823569176-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2804603751-3827288649-2823569176-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
CHR Extension: (Blur) - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\epanfjkfahimkgomnigadpkobaefekcd [2016-09-01]
CHR Extension: (Fast search v3.5) - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooppbnomdcjmoepangldchpmjhkeendl [2016-09-14]
CHR Extension: () - C:\Users\Chingiz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbamggcaifokmlmfikeajinpppkicfne [2016-10-01]
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
S4 Aracity; C:\Program Files (x86)\Rcoplgury\RepacooleiedCch.dll [X]
NETSVCx32: HpSvc -> no filepath.
2016-09-15 00:01 - 2016-09-15 00:37 - 00000000 ____D C:\Program Files (x86)\IObit
2016-09-15 00:01 - 2016-09-15 00:27 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-09-15 00:01 - 2016-09-15 00:27 - 00000000 ____D C:\ProgramData\IObit
2016-09-15 00:01 - 2016-09-15 00:03 - 00000000 ____D C:\Users\Chingiz\AppData\Roaming\IObit
2016-09-15 00:01 - 2016-09-15 00:03 - 00000000 ____D C:\Users\Chingiz\AppData\LocalLow\IObit
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden
Task: {0CACE5C3-621D-49BF-A704-DF68591A5E0F} - \{A202B516-4965-41EA-93B9-1FB7C1C74EAE} -> No File <==== ATTENTION
Task: {2CE69602-ADB3-4C34-8922-E6B18DD0928F} - \Microsoft\Windows Defender\MP Scheduled Scan -> No File <==== ATTENTION
Task: {34F51577-CCAB-4E64-A267-48AB3E9636A2} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
Task: {42ABE094-05AD-4A90-8AED-2C1E24722A3E} - \Microsoft\Office\OfficeTelemetryAgentLogOn -> No File <==== ATTENTION
Task: {62C20D02-E0DB-4BC7-B522-D0931D0ABC0D} - \avastBCLRestartS-1-5-21-2804603751-3827288649-2823569176-1000 -> No File <==== ATTENTION
Task: {6FD1EEB0-FD28-4AE8-9715-754DD8A082B1} - \Microsoft\Office\OfficeTelemetryAgentFallBack -> No File <==== ATTENTION
Task: {72E63DF2-A2A5-4E92-803C-EE2F31758D59} - \Adobe Flash Player Updater -> No File <==== ATTENTION
Task: {7469120D-50A2-491F-BB70-D9BEE85C45CE} - \{12A63EAA-FEAC-4771-80A4-2CBED9B5E102} -> No File <==== ATTENTION
Task: {791DBB68-1FEE-4B18-BFC9-EDA716B24CF3} - \SidebarExecute -> No File <==== ATTENTION
Task: {B00B89F1-4E5E-48A1-94C2-60803EB67C90} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {B5C06796-6EE3-4A0C-BDD7-49AFF4B231D8} - \Driver Booster SkipUAC (Chingiz) -> No File <==== ATTENTION
Task: {BE3F662E-7FDE-4D5E-A732-69CD11447BFB} - \SearchAY -> No File <==== ATTENTION
Task: {DEB9E94D-6B88-4704-AF2D-024A7BDFDCC3} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {F5079FE9-2438-48FA-8955-AC92C8D1D8F9} - \{54538A1C-8267-4A28-82AE-92010605AB03} -> No File <==== ATTENTION
Task: {FC1C5741-B8A4-4683-B5A7-0BD16C343744} - \Microsoft\Office\Office 15 Subscription Heartbeat -> No File <==== ATTENTION
Task: {FDF28495-3F06-4B00-8A52-92C4A8D65701} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Англ.LNK -> G:\Англ (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Краснознаменск 413 МР 7-3.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\Краснознаменск 413 МР 7-3.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Список публикаций Ковальчук.doc.LNK -> G:\Список публикаций Ковальчук.doc (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\Список публикаций_2011-2015.doc.LNK -> G:\Список публикаций_2011-2015.doc (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\текст для рассылки 2.doc.LNK -> C:\Users\Chingiz\ШКОЛА2016\текст для рассылки 2.doc () <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\топик.docx.LNK -> G:\Англ\топик.docx (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\ф-3 по шифр97-973 на 10.10. 2013г.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\ф-3 по шифр97-973 на 10.10. 2013г.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\ф-3 по шифр97-973 на 30.10. 2013г.ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\ф-3 по шифр97-973 на 30.10. 2013г.ppt (No File) <===== Cyrillic
Shortcut: C:\Users\Chingiz\AppData\Roaming\Microsoft\Office\Последние файлы\фотоотчёт на 7.08.13 г..ppt.LNK -> D:\UserTemp\IswTmp\DwlRun\фотоотчёт на 7.08.13 г..ppt (No File) <===== Cyrillic
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg.jpeg:3or4kl4x13tuuug3Byamue2s4b [83]
AlternateDataStreams: C:\Users\Chingiz\Фото_35х45.jpeg.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
MSCONFIG\startupreg: 8L69M9GG5N => "C:\Program Files (x86)\DPower\OOFREWWQ0V.exe"
MSCONFIG\startupreg: AlterGeoUpdater => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
MSCONFIG\startupreg: app => C:\Program Files (x86)\sbqh\uc.exe
MSCONFIG\startupreg: MAgent => C:\Users\Chingiz\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
MSCONFIG\startupreg: PLFSetI => C:\Windows\PLFSetI.exe
MSCONFIG\startupreg: Pritc => D:\UserTemp\00030951\casrss.exe
MSCONFIG\startupreg: win_en_77 => "C:\Program Files (x86)\win_en_77\win_en_77.exe"
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
3) WinRAR 4.00 бета 7 - давно 5-я версия WinRar зарелизена и 4-й не умеет открывать Rar5 так что установите свежую версию WinRar и отпишитесь, что с проблемой?
Все сделал.
Я не заметил чего-либо мешающего работе. Разве что некоторые типы файлов все еще остались с китайским описанием. Но я даже не знаю что это за типы. И все цифровые типы (вроде .001, .002 и т.д) тоже. Можно я их просто поудаляю из реестра, задав поиск по первому иероглифу? Или это что-то нужное?
Часть из этих ассоциаций нужны. Лучше если есть возможность сделать экспорт этих веток с аналогичной системы и импортировать на этой системе.
Или ещё лучше поискать эталонные твики для восстановления ассоциаций этих типов файлов.
папку C:\FRST удалите.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Установил все рекомендованные патчи (их оказалось не слишком много - 3 заплатки от Майкрософт, и 2 от Адоба).
В рекомендациях еще - установить новый IE и включить UAC.
Можно обойтись без установки IE? Его ж все равно надо постоянно обновлять, вряд ли хозяйка будет это делать. Может, есть возможность его как-то заблокировать? Им все равно никто не пользуется.
А по лечению - все работает как надо, спасибо огромное!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: