Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = FirefoxUpdate.exe(4712);модифицированный Win32/Obfuscated.NJT троянская программа;очищен удалением;;;79214B3B00F7E7E7D0470E8559B4B6E41EE298 99;
Постоянно пишет что очищен удалением. Но с периодичностью в 20 минут, нод опять ругается.
Последний раз редактировалось jefmaxi; 21.01.2017 в 23:10.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) jefmaxi, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe'); StopService('iSafeNetFilter'); StopService('iSafeKrnlR3'); StopService('iSafeKrnlMon'); StopService('FirefoxU'); StopService('ed2kidle'); QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe',''); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); QuarantineFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\updater.py',''); QuarantineFile('C:\Program Files\Atulet\hizuge.exe',''); QuarantineFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\ml.py',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeSvc.exe',''); QuarantineFile('C:\Program Files\amuleC2\ed2k.exe',''); QuarantineFile('c:\users\анна\appdata\roaming\winsnare\winsnare.dll',''); QuarantineFile('c:\programdata\winsapsvc\winsap.dll',''); QuarantineFile('c:\programdata\microsoft\phone tools\corecon\12.0\3082\nonsdkaddonlangver.dll',''); QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe',''); DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','32'); DeleteFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\ml.py','32'); DeleteFile('C:\ProgramData\Microsoft\Phone Tools\CoreCon\12.0\3082\NonSDKAddonLangVer.dll','32'); DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32'); DeleteFile('C:\Users\Анна\AppData\Roaming\WinSnare\WinSnare.dll','32'); DeleteFile('C:\Windows\system32\Tasks\bestsalesprofit','32'); DeleteFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\updater.py','32'); DeleteFile('C:\Windows\system32\Tasks\bestsalesprofit2','32'); DeleteFile('C:\ProgramData\vCore\VCore.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VCore','32'); DeleteFile('C:\Windows\system32\Tasks\Milimili','32'); DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32'); DeleteFile('C:\Windows\system32\Tasks\WinTOOL','32'); DeleteFile('C:\Program Files\amulec2\ed2k.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\bugreport.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\curlpp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\iddmgr.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\idesk.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\idskdllpatch64.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\ipcdl.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\ipcproxy.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeadfv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeadless.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafebugreport.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafechlp.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeclcv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafeclc.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlmon.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafe.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafekrnlr3.sys','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemsmv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemoptv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafetbv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafesv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafesvc.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafesptv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafesmgr.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafethlp.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\istart.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafembp.dll','32'); DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32'); DeleteFile('C:\Program Files\elex-tech\yac\ssleay32.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\libeay32.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\libcurl.dll','32'); DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bestsalesprofit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bestsalesprofit','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MSLN\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('iSafeKrnlKit'); DeleteService('iSafeKrnlBoot'); DeleteService('iSafeKrnl'); DeleteService('iSafeNetFilter'); DeleteService('iSafeKrnlR3'); DeleteService('iSafeKrnlMon'); DeleteService('iSafeService'); DeleteService('FirefoxU'); DeleteService('ed2kidle'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Загрузил
Ждем- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Извините, забыл. Догрузил.
Выполните скрипт в AVZ:
После перезагрузки.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\ml.py',''); DeleteFile('C:\Users\Анна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bestsalesprofit.lnk'); DeleteFile('C:\Users\Анна\AppData\Roaming\bestsalesprofit\ml.py','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemclv.dll','32'); DeleteFile('C:\Program Files\elex-tech\yac\isafemgc.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Загрузил
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Загрузил.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-1148551971-3472367681-1114490436-1000\...\MountPoints2: {3715977d-9958-11e5-b1e0-c01885417580} - G:\setup.exe HKU\S-1-5-21-1148551971-3472367681-1114490436-1000\...\MountPoints2: {dd086d8f-a9f7-11e5-b23a-c01885417580} - H:\setup.EXE ShellExecuteHooks: No Name - {ED6A58B4-CB64-11E6-8865-64006A5CFC23} - -> No File ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-1148551971-3472367681-1114490436-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1148551971-3472367681-1114490436-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF ProfilePath: C:\Users\Анна\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\a2ba3pbt.default\Profiles\a2ba3pbt.default [not found] FF DefaultSearchEngine: Mozilla\Firefox\Profiles\a2ba3pbt.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\a2ba3pbt.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\a2ba3pbt.default -> hxxp://mail.ru/cnt/10445?gp=812257 FF Keyword.URL: Mozilla\Firefox\Profiles\a2ba3pbt.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB49033C3-6175-4FFD-A90D-9A3C18C1B818%7D&gp=812258 FF Extension: (No Name) - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\Extensions\amcontextmenu@loucypher [2016-12-31] [not signed] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\Extensions\[email protected] [2017-01-19] FF Extension: (Поиск@Mail.Ru) - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\Extensions\[email protected] [2017-01-19] FF Extension: (No Name) - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-19] [not signed] FF Extension: (Quick Searcher) - C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-11-26] [not signed] FF SearchPlugin: C:\Users\Анна\AppData\Roaming\Mozilla\Firefox\Profiles\a2ba3pbt.default\searchplugins\mailru.xml [2017-01-19] FF DefaultSearchEngine: Firefox\Firefox\Profiles\a2ba3pbt.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Firefox\Firefox\Profiles\a2ba3pbt.default -> Поиск@Mail.Ru FF Homepage: Firefox\Firefox\Profiles\a2ba3pbt.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=800000 FF Keyword.URL: Firefox\Firefox\Profiles\a2ba3pbt.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB49033C3-6175-4FFD-A90D-9A3C18C1B818%7D&gp=812258 FF Extension: (FF Adr) - C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-01-19] [not signed] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\Extensions\[email protected] [2017-01-19] FF Extension: (Поиск@Mail.Ru) - C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\Extensions\[email protected] [2017-01-19] FF Extension: (Quick Searcher) - C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2017-01-19] [not signed] FF SearchPlugin: C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\searchplugins\mailru.xml [2017-01-19] FF SearchPlugin: C:\Users\Анна\AppData\Roaming\Firefox\Firefox\Profiles\a2ba3pbt.default\searchplugins\searchinme.xml [2017-01-19] FF Extension: (Skype Click to Call) - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\istartpageing.xml [2015-11-26] CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BA31ED54D-E6D4-4F02-B1E8-4827138ED4C7%7D&gp=812254 CHR DefaultSearchKeyword: Default -> mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Profile: C:\Users\Анна\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-20] <==== ATTENTION CHR Extension: (Fast search) - C:\Users\Анна\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-01] CHR Extension: (Fast search) - C:\Users\Анна\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-31 CHR Extension: (Fast search) - C:\Users\Анна\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-31] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-05-25] OPR Extension: (Quick Searcher) - C:\Users\Анна\AppData\Roaming\Opera Software\Opera Stable\Extensions\bigefpfhnfcobdlfbedofhhaibnlghod [2015-11-26] OPR Extension: (Fast search) - C:\Users\Анна\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-31] 2016-12-31 18:09 - 2017-01-14 15:48 - 00000000 ____D C:\Users\Анна\AppData\Roaming\bestsalesprofit 2017-01-13 10:44 - 2015-11-26 11:44 - 00000000 ____D C:\Users\Все пользователи\SKlIAuCQhOCaxO 2017-01-13 10:44 - 2015-11-26 11:44 - 00000000 ____D C:\Users\Все пользователи\rcNbKZwrJEMQ 2017-01-13 10:44 - 2015-11-26 11:44 - 00000000 ____D C:\ProgramData\SKlIAuCQhOCaxO 2017-01-13 10:44 - 2015-11-26 11:44 - 00000000 ____D C:\ProgramData\rcNbKZwrJEMQ HKU\S-1-5-21-1148551971-3472367681-1114490436-1000\...\ChromeHTML: -> "C:\Program Files\Bigflat\Application\chrome.exe" "%1" <==== ATTENTION Shortcut: C:\Users\Анна\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk -> C:\Users\Анна\AppData\Local\Amigo\Application\amigo.exe (No File) <===== Cyrillic MSCONFIG\startupfolder: C:^Users^Анна^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^bestsalesprofit.lnk => C:\Windows\pss\bestsalesprofit.lnk.Startup EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Загрузил
Проблемы с руганью антивируса, всплывающей рекламой есть ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
После первого пункта. Год перестал выдавать угрозы. Пока никаких побочных не заметил.
http://virusinfo.info/showthread.php...l=1#post841169 ДоНастройка NOD32
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 40
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\amulec2\ed2k.exe - Trojan-Downloader.Win32.Eroyee.a
- c:\program files\elex-tech\yac\isafekrnlmon.sys - not-a-virus:NetTool.Win32.NetFilter.o ( DrWEB: Adware.Mutabaha.521 )
- c:\program files\elex-tech\yac\isafekrnlr3.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.481 )
- c:\program files\elex-tech\yac\isafesvc.exe - not-a-virus:HEUR:AdWare.Win32.ELEX.gen
- c:\windows\system32\drivers\isafenetfilter.sys - not-a-virus:HEUR:AdWare.Win32.ELEX.gen ( DrWEB: Adware.Mutabaha.481 )
Уважаемый(ая) jefmaxi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
