Вредоносные программы

Printable View

14.06.2016, 22:58
ovchinnikovkp

Вредоносные программы

Здравствуйте!
Последние несколько дней, при запуске компьютера, открывается браузер с автоматически появляющимися вкладками:
([B]httр://time-to-read.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601121b44b7be8052&utm_term=ABE6F46C514B42C1871880CA4BAE300F&utm_d=20160613[/B]) и
([B]httр://winhunters.com/clbv/p7231/?goto=sitereg&mir=1&page=1&atp=282&plid=1219&bnid=5489&popup=0[/B])
Так же на компьютере обнаружены различные антивирусы, браузеры и плагины от сторонних разработчиков (Mail.ru и т.д.), а антивирус находит вирусные файлы и трояны.
Пожалуйста помогите очистить компьютер, логи ниже
14.06.2016, 22:59
Info_bot

Уважаемый(ая) [B]ovchinnikovkp[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.06.2016, 09:43
mrak74

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL] (в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]O2 - BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - (no file)
O3 - Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)
O4 - HKLM\..\RunOnce: [{2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}] cmd.exe /C start /D "C:\Users\dns1\AppData\Local\Temp" /B {2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}.cmd
O4 - HKCU\..\Run: [lomtwmobfg] explorer "http://chatozov.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601121b44b7be8052&utm_term=ABE6F46C514B42C1871880CA4BAE300F&utm_d=20160613"
O4 - HKCU\..\RunOnce: [extsetup] "C:\Users\dns1\AppData\Local\Microsoft\Extensions\extsetup.exe" /S
O4 - HKLM\..\Policies\Explorer\Run: [2671C499-F9C3-43D7-90BE-1B3E42C730B2] "C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe" -startup[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files (x86)\Windows Live\Installer\wlarp.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\Users\dns1\AppData\Roaming\uTorrent\googleupd.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe','');
QuarantineFile('C:\Users\dns1\AppData\Local\Microsoft\Extensions\extsetup.exe','');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','32');
DeleteFile('C:\Users\dns1\AppData\Roaming\uTorrent\googleupd.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A2671C499-F9C3-43D7-90BE-1B3E42C730B2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Users\dns1\appdata\local\microsoft\extensions\extsetup.exe','32');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lomtwmobfg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','extsetup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2671C499-F9C3-43D7-90BE-1B3E42C730B2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
15.06.2016, 20:16
ovchinnikovkp

Карантин вроде прислал, но при фиксе HiJack-ом, я не нашёл строк:
- O4 - HKLM\..\RunOnce: [{2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}] cmd.exe /C start /D "C:\Users\dns1\AppData\Local\Temp" /B {2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}.cmd
- O4 - HKCU\..\RunOnce: [extsetup] "C:\Users\dns1\AppData\Local\Microsoft\Extensions\extsetup.exe" /S
- O4 - HKLM\..\Policies\Explorer\Run: [2671C499-F9C3-43D7-90BE-1B3E42C730B2] "C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe" -startup
Логи:
16.06.2016, 09:43
mrak74

[quote="ovchinnikovkp;1386855"]но при фиксе HiJack-ом, я не нашёл строк:[/quote]
Да, такое иногда возможно.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
16.06.2016, 21:59
ovchinnikovkp

Готово
17.06.2016, 09:40
mrak74

Судя по неоднократным запускам программы AdwCleaner, наверное Вы ею что-то почистили, покажите лог очистки, тот в котором указано что удалено.

+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
17.06.2016, 16:09
ovchinnikovkp

Готово
20.06.2016, 09:55
mrak74

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]CreateRestorePoint:
CloseProcesses:
Task: {08611671-C3D4-49C9-8F25-6C3425007784} - \fupdate -> No File <==== ATTENTION
Task: {13B0EF81-D2FE-4ECD-9140-64F37EFFDA97} - \Microsoft\Windows\A2671C499-F9C3-43D7-90BE-1B3E42C730B2 -> No File <==== ATTENTION
Task: {296B37A7-B22E-49EC-AC67-A0CFAB40A165} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {2D23BE63-44AE-47C9-83ED-A8B111209CF7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {3843E750-BB9C-45DD-BBA4-E4C5B18A7AB9} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\dns1\AppData\Roaming\Steam\Reversed\steam.exe <==== ATTENTION
Task: {3E456C7B-BEDF-4F4C-B0B6-D0FA58BDF1C9} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {44E6A4EB-E9A8-49B1-9401-79F09C9A9A44} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {548F9BF7-1354-432F-AABB-7133173DFA7B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {62CA3D1F-8D7B-4D1C-B416-E0CF44839119} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {62EF8724-2571-4AFE-95CF-0DDDC82D462C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {85B6E7A0-50F0-4685-82A8-AE56B18E94ED} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {89836E64-A53E-4FB0-B7E1-649C4AA8C35D} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {8F0C4CE7-D9DE-4E51-8F11-34227817D351} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {92B9A6A1-EB80-427E-9BEB-CC2D746B3867} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
Task: {9CABAA1F-A59C-4D85-8328-9143547DFCBB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {A7DA1E33-3EDB-4314-9AA6-FED85FEA8A1A} - \ScriptWriter -> No File <==== ATTENTION
Task: {CC9211D4-0B1A-4445-9F63-50558A973D42} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {D53111C2-310B-43D7-97F5-EAF7A844E887} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D93383B2-38C7-46EE-8E33-F65FAD988845} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {F62F92E8-0F9A-48EB-94E7-61CE4DCF8851} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
EmptyTemp:
Reboot:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
21.06.2016, 15:28
ovchinnikovkp

Извиняюсь за задержку, вот лог
21.06.2016, 21:27
mrak74

Что с проблемой ?
21.06.2016, 22:16
ovchinnikovkp

Проблема решена, спасибо большое!
21.06.2016, 22:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]