Помогите

Printable View

18.12.2016, 17:22
Rauf Gedadze

Вложений: 1

Помогите

Есть подозрения на то что в моей системе подключен скрытый удаленный доступ так как вчера обнаружил фаил в папке windews с логами моих действий сразу кинул эти логи в карантин еще со вчерашнего дня в браузере началась открываться реклама так же скачался всякий ширпотреб от mail
Вот линк который вылетает при открытии рекламы [I]ссылки на рекламные сайты удалены[/I]
18.12.2016, 17:24
Info_bot

Уважаемый(ая) [B]Rauf Gedadze[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.12.2016, 21:37
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\1\appdata\local\temp\3a02.tmp.exe');
QuarantineFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '');
QuarantineFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '');
DeleteFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '32');
DeleteFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '32');
DeleteFileMask('c:\users\1\appdata\local\filesystemdriver', '*', true);
DeleteDirectory('c:\users\1\appdata\local\filesystemdriver');
ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'liayvhmvmv');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'mreowuftyc');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
22.12.2016, 23:54
Rauf Gedadze

Простите что затянул
Файлом прикрепить не удалось
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 22:46:47
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Сканирование
# Помощь : [url]https://www.malwarebytes.com/support[/url]

***** [ Службы ] *****

Вредоносные службы не найдены.

***** [ Папки ] *****

Найдена папка: C:\Users\1\AppData\Local\Mail.Ru
Найдена папка: C:\Users\1\AppData\Local\Nichrome
Найдена папка: C:\Users\1\AppData\Local\Xpom
Найдена папка: C:\Users\1\AppData\Local\Вoйти в Интeрнет
Найдена папка: C:\Users\1\AppData\Local\Поиcк в Интeрнете
Найдена папка: C:\ProgramData\Mail.Ru
Найдена папка: C:\ProgramData\Application Data\Mail.Ru
Найдена папка: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\extensions\[email protected]

***** [ Файлы ] *****

Найден файл: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\searchplugins\mailru.xml
Найден файл: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.localstorage

***** [ DLL ] *****

Вредоносных DLL не найдено.

***** [ WMI ] *****

Не найдено вирусных ключей.

***** [ Ярлыки ] *****

Не найдено заражённых ярлыков.

***** [ Запланированные задания ] *****

Не найдено вирусных заданий.

***** [ Реестр ] *****

Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKCU\Software\Media Get LLC
Найден ключ: HKCU\Software\Mail.Ru
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\FileSystemDriver
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof

***** [ Веб браузеры ] *****

Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\feiqy3g6.Work\prefs.js] - "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\prefs.js] - "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\prefs.js] - "browser.search.selectedEngine" - "Поиск@Mail.Ru"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\prefs.js] - "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\prefs.js] - "[email protected]" - "hxxp://mail.ru/cnt/10445?gp=818407"
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=811009
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ccfifbojenkenpkmnbnndeadpfdiffof
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ojlcebdkbpjdpiligkdbbkdkfjmchbfd

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [6553 Байт] - [22/12/2016 22:46:47]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6629 Байт] ##########
24.12.2016, 11:36
Vvvyg

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
25.12.2016, 14:38
Rauf Gedadze

Все помогло огромное спасибо
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 23:05:32
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Очистка
# Помощь : [url]https://www.malwarebytes.com/support[/url]

***** [ Службы ] *****

***** [ Папки ] *****

[-] Папка удалена: C:\Users\1\AppData\Local\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Local\Nichrome
[-] Папка удалена: C:\Users\1\AppData\Local\Xpom
[-] Папка удалена: C:\Users\1\AppData\Local\Вoйти в Интeрнет
[-] Папка удалена: C:\Users\1\AppData\Local\Поиcк в Интeрнете
[-] Папка удалена: C:\ProgramData\Mail.Ru
[#] Папка удалена при перезагрузке: C:\ProgramData\Application Data\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\extensions\[email protected]

***** [ Файлы ] *****

[-] Файл удалён: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\6ypmz8mm.User\searchplugins\mailru.xml
[-] Файл удалён: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.localstorage

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Ярлыки ] *****

***** [ Запланированные задания ] *****

***** [ Реестр ] *****

[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\Media Get LLC
[#] Ключ удалён при перезагрузке: HKCU\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ удалён: HKLM\SOFTWARE\FileSystemDriver
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof

***** [ Браузеры ] *****

[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=E73F3A02AEFADFD1E83DDD04204AC3F6&utm_d=20161217"
[-] Настройки Firefox очищены: "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
[-] Настройки Firefox очищены: "browser.search.selectedEngine" - "Поиск@Mail.Ru"
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
[-] Настройки Firefox очищены: "[email protected]" - "hxxp://mail.ru/cnt/10445?gp=818407"
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Удалено: hxxp://mail.ru/cnt/10445?gp=811009
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ccfifbojenkenpkmnbnndeadpfdiffof
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: oelpkepjlgmehajehfeicfbjdiobdkfj
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ojlcebdkbpjdpiligkdbbkdkfjmchbfd

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [6314 Байт] - [22/12/2016 23:05:32]
C:\AdwCleaner\AdwCleaner[S0].txt - [6711 Байт] - [22/12/2016 22:46:47]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [6466 Байт] ##########
25.12.2016, 20:26
Vvvyg

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
25.12.2016, 20:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]