Поймали рекламный вирус. Посмотрите, пожалуйста, логи
Printable View
Поймали рекламный вирус. Посмотрите, пожалуйста, логи
Уважаемый(ая) [B]spb_dqz[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('roqenufe');
StopService('SSFK');
StopService('swsedrvr_vt_1_10_0_25');
StopService('WindowsMangerProtect');
StopService('zumycixe');
TerminateProcessByName('c:\program files\sfk\ssfk.exe');
QuarantineFile('C:\Documents and Settings\Танюша\Application Data\WindowsUpdater\Updater.exe','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Birds\birds365.exe','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\BrowserMart.dll','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\oig.dll','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\{077A2182-4DCF-53BF-637C-C5413CB36D08}.dat','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\config.json','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\coprofit_stb.exe','');
QuarantineFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_025010167\upgmsd_ru_025010167.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Tmp0x0x\ProtectWindowsManager.exe','');
QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\jnsr23A.tmp','');
QuarantineFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\knse22F.tmpfs','');
QuarantineFile('C:\Program Files\gmsd_ru_025010167\gmsd_ru_025010167.exe','');
QuarantineFile('c:\program files\sfk\ssfk.exe','');
QuarantineFile('C:\Program Files\SXR Software\StatWin\ExecStat.exe','');
QuarantineFile('C:\PROGRA~1\GROOVE~1\Imipqom.bat','');
QuarantineFile('C:\WINDOWS\system32\drivers\cherimoya.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
DeleteService('roqenufe');
DeleteService('SSFK');
DeleteService('swsedrvr_vt_1_10_0_25');
DeleteService('WindowsMangerProtect');
DeleteService('zumycixe');
DeleteFile('C:\Documents and Settings\Танюша\Application Data\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\BrowserMart.dll','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\oig.dll','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\Browser Mart\{8B1EE9A3-64A9-E4BD-4B5B-284AFD5813EC}\{077A2182-4DCF-53BF-637C-C5413CB36D08}.dat','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\config.json','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\coprofit\coprofit_stb.exe','32');
DeleteFile('C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_025010167\upgmsd_ru_025010167.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Tmp0x0x\ProtectWindowsManager.exe','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\jnsr23A.tmp','32');
DeleteFile('C:\Program Files\FFFFFFFF-1449462114-FFFF-FFFF-FFFFFFFFFFFF\knse22F.tmpfs','32');
DeleteFile('C:\Program Files\gmsd_ru_025010167\gmsd_ru_025010167.exe','32');
DeleteFile('C:\Program Files\SFK\SSFK.exe','32');
DeleteFile('C:\PROGRA~1\GROOVE~1\Imipqom.bat','32');
DeleteFile('C:\WINDOWS\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\WINDOWS\Tasks\Browser Mart.job','32');
DeleteFile('C:\WINDOWS\Tasks\Browser Mart2.job','32');
DeleteFile('C:\WINDOWS\Tasks\Rujroft.job','32');
DeleteFile('C:\WINDOWS\Tasks\WindowsUpdater.job','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','coprofit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_025010167','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_025010167.exe','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.
Готово. Вирус пока не удален
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Готово
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
2016-02-11 13:41 - 2016-02-23 13:41 - 00000370 _____ C:\WINDOWS\Tasks\FreeVPN.job
2016-02-11 13:41 - 2016-02-11 13:41 - 00000000 ____D C:\Documents and Settings\Танюша\Application Data\FreeVPN
2016-02-08 15:29 - 2015-12-06 12:23 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Unity
C:\Documents and Settings\Танюша\Local Settings\Temp\16C.tmp.exe
C:\Documents and Settings\Танюша\Local Settings\Temp\268.tmp.exe
C:\Documents and Settings\Танюша\Local Settings\Temp\77.tmp.exe
C:\Documents and Settings\Танюша\Local Settings\Temp\FreeVPNSetup.exe
Task: C:\WINDOWS\Tasks\FreeVPN.job => C:\Documents and Settings\Танюша\Application Data\FreeVPN\FreeVPN.exe <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57}
AlternateDataStreams: C:\Documents and Settings\Танюша:id
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_005010168.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_025010167.exe]
C:\Documents and Settings\Танюша\Local Settings\Application Data\gmsd_ru_005010168\upgmsd_ru_005010168.exe
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Пока не помогло (
- Смотрите на роутере и устройствах, не приписались ли вредоносные ДНС.
- Приложите новые логи утилиты FRST.
через этот роутер работают еще 3 машины. Проблемы только у меня
Указанные ниже настройки принадлежат Вашему роутеру?
[CODE]
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 192.168.0.1
Tcpip\..\Interfaces\{84B77FAD-F7FE-4512-AAF4-420D54949280}: [DhcpNameServer] 192.168.0.1 192.168.0.1
[/CODE]
Что из следующего ставили сами?
[CODE]
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Nichrome
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Mozilla
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Chromium
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {057fe040-25db-11e5-8ea0-10feed253036} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {5af910c1-13d2-11e5-b06d-9f698bc3406b} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {62d6e5c4-2132-11e5-a87e-0016e654c56c} - J:\Setup.exe
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {7e8d174b-0fde-11e5-a137-0016e654c56c} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {7e8d174e-0fde-11e5-a137-0016e654c56c} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {bf06d0c5-130f-11e5-9147-0016e654c56c} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {bf06d0c7-130f-11e5-9147-0016e654c56c} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {d3a8cfc5-2056-11e5-9635-c1cb289d3e03} - "J:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1409082233-630328440-1417001333-1003\...\MountPoints2: {f5a8fb15-4da1-11e3-9153-806d6172696f} - I:\setup.exe
ManualProxies:
FF Plugin HKU\S-1-5-21-1409082233-630328440-1417001333-1003: @unity3d.com/UnityPlayer,version=1.0 -> C:\Documents and Settings\Танюша\Local Settings\Application Data\Unity\WebPlayer\loader\npUnity3D32.dll [No File]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
StartMenuInternet: chrome.exe - Chrome.exe
Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom
Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Nichrome
Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Mozilla
Folder: C:\Documents and Settings\Танюша\Local Settings\Application Data\Chromium
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
[QUOTE=SQ;1361382]Указанные ниже настройки принадлежат Вашему роутеру?
[CODE]
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 192.168.0.1
Tcpip\..\Interfaces\{84B77FAD-F7FE-4512-AAF4-420D54949280}: [DhcpNameServer] 192.168.0.1 192.168.0.1
[/CODE]
[/QUOTE]
не могу точно сказать, доступа к роутеру у меня нет, компьютер подсоединяется к нему через wifi адаптер.
[QUOTE=SQ;1361382]
Что из следующего ставили сами?
[CODE]
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Nichrome
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Mozilla
2016-02-24 16:34 - 2016-02-24 16:34 - 00000000 ____D C:\Documents and Settings\Танюша\Local Settings\Application Data\Chromium
[/QUOTE]
Если последняя строка не относится к Браузеру Хром, то ничего.
Лог чуть позже...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Готово
[QUOTE=spb_dqz;1361398]
Если последняя строка не относится к Браузеру Хром, то ничего.
[/QUOTE]
Согласно логу FRST браузер chromе хранит данные в следующем каталоге:
[CODE]CHR Profile: [B]C:\Documents and Settings\Танюша\Local Settings\Application Data\Google\Chrome\User Data\Default[/B]
[/CODE]
Но Ваш ярлык [B]Xpoм.lnk[/B] ссылается на:
[CODE]C:\Documents and Settings\Танюша\Local Settings\Application Data\Xpom\Application\chrome.exe[/CODE]
Проблема воспроизводиться во всех браузерах?
Сейчас запустил IE, в нем тоже высветилась реклама от cаpricornus. Что интересно, в ВК реклама не появляется. в яндекспочте тоже, а вот к примеру стоит открыть ваш сайт, и сразу все виснет, тупит и вылезает реклама. Отправить сообщение - целая песня. Особенно с вложениями
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\DNSAPI.dll', '');
QuarantineFile('C:\WINDOWS\system32\Isauaqnex.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Softex\Expert\hktray.exe','32');
DeleteFile('C:\WINDOWS\system32\Isauaqnex.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hktray','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Приложите новый лог AVZ.
Покажите результат следующей команды в командной строке (cmd.exe) в привилегированном режиме (Run as Administrator):
[CODE]sfc /scannow [/CODE]
Сообщите результат.
как-то так...
Подмена системного файла:
[CODE]
C:\WINDOWS\system32\DNSAPI.dll - Trojan.Win32.Patched.qw[/CODE]
Важно: Следующее решение, написано, только для Вашего случая ([B]spb_dqz[/B]), не стоит его применять для других схожих случаев.
Перед начало убедитесь в том, что отсутствовал файл [b]SFCFix.txt[/b] на рабочем столе.
----------------------------------------
Скачайте [url=http://www.sysnative.com/niemiro/apps/SFCFix.exe][b]SFCFix.exe[/b][/url](by niemiro) и сохраните на рабочем столе.
Скачайте [url=http://1drv.ms/1TCHVnK][b]SFCFix.zip[/b][/url] и сохраните на рабочем столе.
Убедитесь, чтобы название файла было [b]SFCFix.zip[/b] - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: [b]SFCFix.exe[/b] и [b]SFCFix.zip[/b].
нажмите мышкой на файл [b]SFCFix.zip[/b] и переместите на [b]SFCFix.exe[/b] и отпустите мышь.
[img]http://i.imgur.com/JQLRgtF.gif[/img]
[b]SFCFix.exe[/b] начнет процесс исправления.
По окончанию создается файл: [b]SFCFix.txt[/b].
Приложите полученный отчет в следующем сообщение.
----------------------------------------
Приложите новый лог AVZ.
[QUOTE=spb_dqz;1361648]как-то так...[/QUOTE]
Найдите установочный диск от Windows XP, так как рекомендуется проверить целостность системных файлов.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]47[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\dnsapi.dll - [B]Trojan.Win32.Patched.qw[/B][/LIST][/LIST]