Меняются стартовые страницы и самопроизвольная установка ПО на компьютер [Trojan.Win32.Obfuscated.bkyj
]
Всем доброго дня!
Столкнулся с проблемой, однажды наспех скачав какое то ПО для учебы на левом сайте, понадеялся на антивирус. После этого поменялись стартовые страницы в браузере, поисковики. Я скачал программу Malwarebytes Anti-Malware, зачистил систему, после чего все было нормально неделю, потом как то браузер сам перезапустился и опять то же самое, левые странички, + появляются непонятные программы на компьютере типа amuleC. Что особенно странно, я специально повысил контроль учетной записи на макс уровень, но установка ПО происходит без уведомления!
После чего я несколько раз делал полную проверку программами Malwarebytes и Dr.Web с последними обновлениями, да, они находят нежелательное ПО, зачищают, но проходит неделя и снова начинается все сначала.
Помогите, пожалуйста!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Влад Сенченко, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\hola\app\hola.exe','');
QuarantineFile('C:\Program Files (x86)\Ckudeckpetion\pradom.exe','');
DeleteFile('C:\Program Files (x86)\Ckudeckpetion\pradom.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Zegaingjaduly Monitor','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Выполнил. Только пришлось 2 раза выполнить, первый лог перезатерся, тут возможно меньше данных.
И зря не предупредили, что удалится профиль в хроме, потерял часть данных. Ну ладно
Если лечение закончено, то теперь надо понаблюдать. Как я говорил ранее, проблема возникала периодически раз в неделю-две.
Прошу тему пока не закрывать, недели 2-3. Надеюсь скоро отпишу об успешном лечении.
Спасибо!
Добрый день!
Не прошло недели. Первый раз хром вывалился молча- никакого левака не появилось.
На следующий день (сегодня) история повторилась, но теперь уже появилось нечто такое, что то типа копии хрома, только с левыми поисковиками и расширениями.
Кое что успел отловить в диспетчере задач: Вложение 653195
При попытке открыть по пути расположения файла: 1.jpg
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Python27\Scripts\easy_install.exe','');
QuarantineFile('C:\Program Files (x86)\Nosekiss\Application\chrome.exe','');
QuarantineFile('C:\Program Files\Hola\app\hola.exe','');
QuarantineFile('C:\Windows\system32\Drivers\COMPT.sys','');
QuarantineFile('C:\Windows\TEMP\307F840.sys','');
QuarantineFile('c:\programdata\preemptive solutions\common\lac\sos\1.1.4322__2.3.0.2.dll','');
QuarantineFile('c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddonlangver.dll','');
QuarantineFile('c:\programdata\microsoft\blend\14.0\1033\resourcecacher.dll','');
DeleteFile('C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll','32');
DeleteFile('C:\ProgramData\PreEmptive Solutions\Common\LAC\sos\1.1.4322__2.3.0.2.dll','32');
DeleteFile('C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\3082\NonSDKAddonLangVer.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ WISvc\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MCSvc\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSLN\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Что с обновлениями ОС устанавливаете периодически ?
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
и сохраните на Рабочем столе.
Сообщение от Влад Сенченко
