Аваст стал ловить по 10-30 угроз с данным вирусом. Компьютер проверял утилитой Hitman pro и Cureit. Проблемы находились, устранялись, но вирус по-прежнему действует
Printable View
Аваст стал ловить по 10-30 угроз с данным вирусом. Компьютер проверял утилитой Hitman pro и Cureit. Проблемы находились, устранялись, но вирус по-прежнему действует
Уважаемый(ая) [B]Adioman[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
[/CODE]
[NOTICE]Внимание !!! База поcледний раз обновлялась 04.09.2015 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45[/NOTICE]
Обновите базы и переделайте логи. Для 64-битной версии Windows нужно выполнить только 2-й стандартный скрипт в AVZ.
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\RenewalService\Service.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe','');
QuarantineFile('C:\Windows\system32\drivers\qutmipc.sys','');
QuarantineFile('C:\Windows\winstart.bat','');
DeleteFile('C:\Users\1\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\MicrosoftUpdater','32');
DeleteFileMask('C:\Users\1\AppData\Roaming\MicrosoftUpdater', '*', true, ' ');
DeleteDirectory('C:\Users\1\AppData\Roaming\MicrosoftUpdater');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог новый лог AVZ
Логи AVZ
Уточните антивирус 360 сами ставили?
Вам знаком следующий файл/сервис:
[CODE]C:\ProgramData\RenewalService\Service.exe[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\MTV20151125\MTView.exe','');
QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
QuarantineFile('C:\ProgramData\RenewalService\Service.exe','');
QuarantineFileF('C:\ProgramData\RenewalService', '*', false,'', 0, 0);
DeleteFile('C:\Windows\system32\searchprotectservice.exe','32');
DeleteFile('C:\Program Files\MTV20151125\MTView.exe','32');
DeleteFileMask('C:\Program Files\MTV20151125', '*', true, ' ');
DeleteDirectory('C:\Program Files\MTV20151125');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.
Антивирус 360 поставился у меня, когда я случайно сцапал программу установки амиго. Вместе со всем этим мусором, на комп устанавливался еще один антивирус китайский. Темпест СС, что ли.. не помню. Удалить его смог. И вроде бы 360 тоже вытравил
C:\ProgramData\RenewalService\Service.exe по поводу этого, единственно что знаю, это поставилось одновременно с установкой амиго и прочего мусора
Что интересно, активность вируса проявляется только во время выполнения стандартного скрипта №3 в AVZ. В остальное время аваст не фиксирует никакой активности вируса.
Где запрошенный ранее лог:
[QUOTE=SQ;1354036]
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
[/QUOTE]
[list][*]Скачайте [URL="http://virusinfo.info/soft/tool.php?tool=ClearLNK"]ClearLNK[/URL] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[IMG]http://dragokas.com/tools/move.gif[/IMG][*]Отчет о работе [B]ClearLNK-<Дата>.log[/B] будет сохранен в папке [B]LOG[/B].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Adioman;1354376]Антивирус 360 поставился у меня, когда я случайно сцапал программу установки амиго. Вместе со всем этим мусором, на комп устанавливался еще один антивирус китайский. Темпест СС, что ли.. не помню. Удалить его смог. И вроде бы 360 тоже вытравил.[/QUOTE]
Для удаление остатков, выполните следующие инструкции:
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('TSSK');
DeleteService('TSSK');
QuarantineFile('C:\Program Files\360\Total Security\safemon\QHSafeTray.exe','');
QuarantineFile('C:\Windows\system32\tssk.sys','');
DeleteFile('C:\Program Files\360\Total Security\safemon\QHSafeTray.exe','32');
DeleteFile('C:\Windows\system32\tssk.sys','32');
DeleteFileMask('C:\Program Files\360', '*', true, ' ');
DeleteDirectory('C:\Program Files\360');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QHSafeTray','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Вот
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вот
(Аваст не давал скачать эту программу, говоря что вирус)
Вам знакомы следующее:
[CODE]
HKLM\...\runonceex: [Flags] => 128
HKLM\...\runonceex: [Title] => UnHackMe Rootkit Check
2016-01-27 17:29 - 2016-01-27 17:29 - 00000000 _____ C:\Windows\system32\Number of results
2016-01-27 01:59 - 2016-01-27 17:57 - 00000028 _____ C:\Windows\system32\L
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nxivx6r7.default\extensions\[email protected] [not found]
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nxivx6r7.default\extensions\[email protected] => not found
Folder: C:\Windows\system32\Number of results
Folder: C:\Windows\system32\L
2016-01-27 00:41 - 2016-01-27 00:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WajaNetEn
2016-01-27 00:39 - 2016-01-27 17:58 - 00000000 ____D C:\Users\1\AppData\Local\Unity
2016-01-27 00:39 - 2016-01-27 01:08 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity
2016-01-27 00:39 - 2016-01-27 00:57 - 00000000 ____D C:\Users\1\AppData\Roaming\MailProducts
Task: {01F80595-09B6-4EE3-816E-08D19E8BBF38} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {34974C63-BC7A-4B70-879A-7F0F53D7B64E} - \Kit Total2 -> No File <==== ATTENTION
Task: {84A12DBC-2ADD-4E37-B1C2-8F20A6291D19} - \Kit Total -> No File <==== ATTENTION
Task: {B0EFF3E1-FDB7-4FC6-B045-DC97D25C3966} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {D109D1A1-E89F-4C55-9658-4212FE912CB7} - \Microsoft\Windows\MicrosoftUpdater -> No File <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QHSafeTray]
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
В системных событиях логируется ошибка драйвера антивируса 360
[CODE]
Error: (01/31/2016 09:32:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
qutmipc
[/CODE]
В связи с этим уточните если требуется Вам антивирус 360, драйвер и карантин?
[CODE]
S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn)
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\Users\Все пользователи\360Quarant
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\ProgramData\360Quarant
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\$360Section
[/CODE]
Ничего из вышеописанного мне не знакомо. Антивирус 360 не нужен
Приложите новый лог FRST.
Вот
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\runonceex: [Flags] => 128
HKLM\...\runonceex: [Title] => UnHackMe Rootkit Check
S1 qutmipc; C:\Windows\system32\drivers\qutmipc.sys [53960 2015-12-31] (360.cn)
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\Users\Все пользователи\360Quarant
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\ProgramData\360Quarant
2016-01-27 17:39 - 2016-01-27 17:58 - 00000000 __SHD C:\$360Section
2016-01-27 17:31 - 2015-12-31 06:30 - 00053960 _____ (360.cn) C:\Windows\system32\Drivers\qutmipc.sys
2016-01-27 01:05 - 2016-01-27 01:05 - 00030392 _____ (Tencent) C:\Windows\system32\Drivers\TS888.sys
2016-01-27 00:44 - 2016-01-27 01:40 - 00000000 ____D C:\Users\1\AppData\Roaming\Calculator
Folder: C:\Users\1\AppData\Roaming\ProductData
2016-01-27 00:43 - 2016-01-27 00:43 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData
Folder: C:\Users\1\AppData\Roaming\DRPSu
Folder: C:\Windows\system32\DAX2
Folder: C:\Program Files\TData
2016-01-27 00:37 - 2016-01-27 18:03 - 00000000 ____D C:\Program Files\TData
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]