Вирус подхвачен примерно в 15.00 4 января 2017 года.
Всё, что смог вручную, уже удалил, перешерстил весь реестр. Не помогает.
Printable View
Вирус подхвачен примерно в 15.00 4 января 2017 года.
Всё, что смог вручную, уже удалил, перешерстил весь реестр. Не помогает.
Уважаемый(ая) [B]440[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{1D65FA74-0FC0-422A-86AE-7F58C4676983}.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\{E6946ECA-4B77-45E7-B456-32415B242BF9}\FlashPlayerUpdateService.exe','');
DeleteService('allnet');
QuarantineFile('C:\Program Files (x86)\skinapp\allnet.sys','');
QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
DeleteFile('C:\Program Files (x86)\skinapp\allnet.sys','32');
DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\{E6946ECA-4B77-45E7-B456-32415B242BF9}\FlashPlayerUpdateService.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Force_{E6946ECA-4B77-45E7-B456-32415B242BF9}','64');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\InternetBE','64');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\{1D65FA74-0FC0-422A-86AE-7F58C4676983}.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1D65FA74-0FC0-422A-86AE-7F58C4676983}','64');
DeleteFile('C:\Windows\system32\Tasks\{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D}','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\{E6946ECA-4B77-45E7-B456-32415B242BF9}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Сразу после перезагрузки реклама выпрыгнула опять(((.
Какие-то помойные новостные ленты.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Выкладываю логи.
Карантин тоже выслал.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
[QUOTE=thyrex;1424172] Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.[/QUOTE]
Представляю отчеты FRST64.
Опять выпрыгнула реклама казино вулкан. Проклятье на мою голову - посадил на рабочую машину 11-летнего бандита. Вот результат.
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1771641454-1423502667-3866363202-1000\...\MountPoints2: {07f5d94d-7a03-11e4-a8b7-00241dce18fa} - G:\AutoRun.exe
HKU\S-1-5-21-1771641454-1423502667-3866363202-1000\...\MountPoints2: {aadfa371-3884-11e6-9a23-00241dce18fa} - D:\AutoRun.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho64.dll => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1771641454-1423502667-3866363202-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: (Adblock Plus) - C:\Users\TOP\AppData\Roaming\Mozilla\Firefox\Profiles\g9yis9up.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-01-04]
Task: {200807C3-E520-45DD-8A8A-94287E6F45F2} - \{1D65FA74-0FC0-422A-86AE-7F58C4676983} -> No File <==== ATTENTION
Task: {754C0B6F-8C47-437B-B17B-A4B07B78E01C} - \GameXPService Autoupdate -> No File <==== ATTENTION
Task: {8FC78860-EA3B-4640-A091-A79C71052C6E} - \{044C4CA8-3A5C-4EB1-B02C-DFB091AAF50D} -> No File <==== ATTENTION
Task: {A299DF5E-4622-4F95-9310-BE55CBED405B} - \Safebrowser -> No File <==== ATTENTION
Task: {A6ABA845-DD06-4D78-B2C2-3918A9BB6967} - \Microsoft\Windows\Force_{E6946ECA-4B77-45E7-B456-32415B242BF9} -> No File <==== ATTENTION
Task: {AD2A70E5-DFF2-4739-863B-6A45A795A5C4} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {C29B0440-CB9E-483E-AD36-C0D1AB908DC2} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {D23BD1BF-B1F3-4620-B78B-8D5FFC53DFE1} - \Microsoft Windows Video -> No File <==== ATTENTION
Task: {DA551403-C2D4-4BBE-9544-A6967771C4B3} - System32\Tasks\newcityinworld => Firefox.exe hxxp://newcityinworld.ru/gvotes
Task: {DB97CA8C-D044-4665-A62D-D8FEA0B1AB45} - \extsetup -> No File <==== ATTENTION
Task: {FBDB7E08-4BFC-4D32-B303-3FBA7A191CF2} - \Microsoft\Windows\{E6946ECA-4B77-45E7-B456-32415B242BF9} -> No File <==== ATTENTION
Task: {FEAA9A44-FE22-4F97-9941-8F6E104610DC} - \InternetBE -> No File <==== ATTENTION
EmptyTemp:
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Ух, шайтан!!! Вроде, получилось.
Прикрепляю лог.
З.Ы. Я видел в логах KRB updater. Как сберечь машину от повторного заражения этой дрянью? Есть ли какое-нибудь программное средство, препятствующее внедрению этой дряни?
Сегодня был на сайте, искал информацию кое какую, наткнулся на статью. Привожу, частично ответит на Ваши вопросы. [url]http://www.cezurity.com/ru/teaser/faster[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]