Поймал вирус при установке сторонней программы. После этого стали в браузере открываться окна с рекламой игровых автоматов + Касперский блокирует файлы программы Comdev.exe, которая постоянно пересоздает файлы в папке Temp. Логи прилагаю.
Printable View
Поймал вирус при установке сторонней программы. После этого стали в браузере открываться окна с рекламой игровых автоматов + Касперский блокирует файлы программы Comdev.exe, которая постоянно пересоздает файлы в папке Temp. Логи прилагаю.
Уважаемый(ая) [B]t1mekiller[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Добавился еще какой-то Power Monitor.exe, которого Касперский тоже блокирует
[LIST=1][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
После сканирования написал, что найдено 109 угроз...ничего не удалял, прикрепил как есть отчет
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Не удержался и удалил) Новые отчеты S4 и C2 прикрепил.
Скачайте [url="https://www.malwarebytes.org/mwb-download/"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы, выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните лог в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].
Лог сканирования во вложении
Удалите в MBAM все, [B][COLOR="#FF0000"]кроме[/COLOR][/B]:
[CODE]
Registry Keys: 3
HackTool.AutoKMS, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\KMSEmulator, , [132e5ff2c6d4db5b9b6530c76e9506fa],
Files: 50
HackTool.AutoKMS, C:\ProgramData\KMSAuto\KMSAuto Net.exe, , [1130460b6e2c77bf10d73c692bd6e020],
HackTool.Agent, C:\Users\bih\Downloads\$U t i l i t e s\Portable FlashGet 3.5.1126\FlashGet NoAD v1.8.exe, , [79c8c68b7d1dc472869a7b8baa56d12f],
RiskWare.Tool.CK, C:\Users\bih\Downloads\$U t i l i t e s\SONY Sound Forge Pro 11.0 Build 299\Sony.Products.Multikeygen.v2.6.Keygen.and.Patch.Only.READ.NFO-DI\Keygen.exe, , [c8793819dac05adc036dab250afad42c],
RiskWare.Tool.CK, C:\Users\bih\Downloads\$U t i l i t e s\SONY Sound Forge Pro 11.0 Build 299\Sound Forge Pro 11.0 Build 299 Portable by punsh\Sound Forge 11\App\Sony\Forge11\Keygen.exe, , [d66bf45de1b9bd79bbb51cb4a85c6997],
RiskWare.Tool.CK, C:\Users\bih\Downloads\$U t i l i t e s\SONY Sound Forge Pro 11.0 Build 299\Sound Forge Pro 11.0 Build 299 Portable by punsh\Sound Forge 11\MultiKeygen\Keygen.exe, , [92af430ea0fae84e58188848f212e917],
CrackTool.CorelDesigner, C:\Users\bih\Downloads\CorelDRAW Graphics Suite X8 v18.0.0.448 Retail Ml_Rus\CorelDraw Graphics Suite X8 Multi Retail ISO XForce Keygen\CorelDraw Graphics Suite X8 Multi Retail ISO XForce Keygen.exe, , [f051d47d9604ff37f07fa1198a778977],
RiskWare.FilePatcher, C:\Users\bih\Downloads\DAEMON Tools Ultra v4.1.0.0489 Final Ml_Rus\Patch\Patch-DTU410-0489-v2.exe, , [1829bc953d5da690ea882b25a55c7b85],
HackTool.AutoKMS, C:\Users\bih\Downloads\Microsoft Office 2010 Professional Plus 14.0.7116.5000 SP2 RePack by D!akov\Crack\Для Windows 7,8,8.1\KMSAuto Net.exe, , [98a9a5ace4b6ff37c423efb632cf53ad],
HackTool.KMS, C:\Users\bih\Downloads\Microsoft Office 2010 Professional Plus 14.0.7116.5000 SP2 RePack by D!akov\Crack\Для Windows Xp\KMSAuto v1.01.XP Portable RU XP\KMSAutoXP.exe, , [0c35430efb9f0d29e5bb128ad72abd43],
HackTool.AutoKMS, C:\Users\bih\Downloads\Office_2013_SP1_x86_x64_Ru-En_Select_MLF_KROKOZ\KMSAuto_Net_2014_v1.2.4_Portable.[15.03.2014]\KMSAuto Net 2014 v1.2.4 Portable EN.zip, , [2c15d77a603a4ee835b29312ea170af6],
HackTool.AutoKMS, C:\Users\bih\Downloads\Office_2013_SP1_x86_x64_Ru-En_Select_MLF_KROKOZ\KMSAuto_Net_2014_v1.2.4_Portable.[15.03.2014]\KMSAuto Net 2014 v1.2.4 Portable RU.zip, , [60e19eb3970321157572aff6c53c8e72],
HackTool.AutoKMS, C:\ProgramData\KMSAuto\bin\KMSSS.exe, , [132e5ff2c6d4db5b9b6530c76e9506fa],
[/CODE]
Спасибо, вроде помогло
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Прикрепил (при первом запуске программа выдала окно "failed to update (1)")
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1307230965-1752634418-3379799632-1002\...\Run: [yvucelkxxn] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=AD20CF5F4B0C98DD53CFF5B64B28FDD6&utm_d=20160826" <===== ATTENTION
HKU\S-1-5-21-1307230965-1752634418-3379799632-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=AD20CF5F4B0C98DD53CFF5B64B28FDD6&utm_d=20160826
FF SelectedSearchEngine: GoSearch
FF Extension: (Pin4Ever) - C:\Users\bih\AppData\Roaming\Mozilla\Firefox\Profiles\78czl3gb.default\extensions\[email protected] [2016-08-31]
CHR Extension: (Дополнительные настройки ВКонтакте) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\djhgiahomjkabjdodlemhnhbnbfcomam [2016-09-01]
CHR Extension: (Penguin's Pinterest Downloader) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnpbbnegekheffpbkhljmllegglapfh [2016-09-01]
CHR Extension: (Video Downloader professional) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\elicpjhcidhpjomhibiffojpinpmmpil [2016-09-01]
CHR Extension: (Кнопка Pin It) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpdjojdkbbmdfjfahjcgigfpmkopogic [2016-09-01]
CHR Extension: (Downloads) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngbcgifdaopbfflfhbcfeomijfbbcadi [2016-09-01]
CHR Extension: (Save to Pocket) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\niloccemoadcdkdjlinkgdfekeahmflj [2016-09-02]
CHR Extension: (ScriptSafe) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\oiigbmnaadbkfbmpbfijlflahbdbdgdf [2016-09-01]
CHR Extension: (Chrome Media Router) - C:\Users\bih\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-30]
S4 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
2016-08-27 01:20 - 2016-08-27 01:20 - 00003074 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
2016-08-27 01:20 - 2016-08-27 01:20 - 00000000 ____D C:\Users\bih\AppData\Local\Unity
2016-08-27 01:19 - 2016-08-27 01:19 - 00002274 _____ C:\Users\bih\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-08-27 01:19 - 2016-08-27 01:19 - 00000000 ____D C:\Users\bih\AppData\LocalLow\Unity
2016-08-27 01:18 - 2016-08-29 09:48 - 00000000 ____D C:\Users\bih\AppData\Local\PowerMonitor
2016-08-27 01:17 - 2016-08-29 08:55 - 00000000 ____D C:\Users\bih\AppData\Local\ComDev
Task: {094CD275-5C71-4753-B57E-5566CA859498} - \Microsoft\Windows\SideShow\AutoWake -> No File <==== ATTENTION
Task: {0F6DBBD1-1FA5-490B-A482-1F43FCC689E6} - \Microsoft\Windows\SideShow\SystemDataProviders -> No File <==== ATTENTION
Task: {50661A27-0217-419A-9C32-106C527FBB24} - \PowerMonitor -> No File <==== ATTENTION
Task: {5822E3FB-5B38-4D0D-8D91-5B845FAC3E45} - \ComDev -> No File <==== ATTENTION
Task: {73216EA7-035F-498C-9C59-38AAC114E3E7} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2016-06-02] ()
C:\Program Files (x86)\Gyazo
Task: {874AB2FB-53A7-42E5-8252-1D0BAD68D4BF} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2016-06-02] ()
Task: {8B6759EE-1C08-4B8F-955C-774AB5A6544E} - \Microsoft\Windows\SideShow\SessionAgent -> No File <==== ATTENTION
Task: {C9DCF59E-6B97-4C0C-8641-B8261089C8CA} - \Microsoft\Windows\MobilePC\HotStart -> No File <==== ATTENTION
Task: {DB21EF32-6BA9-4118-BBC1-BC4FF48961E5} - \Microsoft\Windows\SideShow\GadgetManager -> No File <==== ATTENTION
Task: {F61C1098-6385-4992-9119-CE0F68340314} - \Microsoft\Windows\Servicing\StartComponentCleanup -> No File <==== ATTENTION
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]upload.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
Доброго времени суток. Сделал
Что с проблемой?
Пока вроде ничего плохого не происходит. Спасибо Вам. Сейчас тяжело с финансами, как-то иначе я могу Вас отблагодарить?
В подписи есть нужные ссылки.
[LIST=1][*]Для удаления утилит, которые использовались в лечении скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][/LIST]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Все сделал! Спасибо Вам!