Чистка после заражения

Printable View

Показывать 40 сообщений этой темы на одной странице

26.02.2017, 20:23
Server0

Вложений: 1

Чистка после заражения

Было много вирусов.Просканировал д-ром Вэбом,Касперским,CUREIT.Есть подозрения,что что-то могло остаться.Прошу проверить на наличие вирусов.
26.02.2017, 20:24
Info_bot

Уважаемый(ая) [B]Server0[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.02.2017, 11:16
Сомнение

[B]Здравствуйте![/B]

Вам необходимо:

[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
TerminateProcessByName('c:\program files (x86)\note-up\note-up.exe');
StopService('4F967E946F579371');
StopService('4F967BC24BBFA971');
StopService('dicuwowe');
QuarantineFile('C:\Program Files (x86)\Torrent Search\hCPw4ow.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Roaming\NUIns\NUIns.exe', '');
QuarantineFile('c:\program files (x86)\note-up\note-up.exe', '');
QuarantineFile('C:\Windows\TEMP\3A3D42D.sys', '');
QuarantineFile('C:\Windows\TEMP\343DC46.sys', '');
QuarantineFile('C:\Program Files (x86)\185D2380-1443971473-11DD-8C33-F0795970F93A\knss74CC.tmpfs', '');
QuarantineFile('C:\Windows\system32\drivers\1478520A.sys', '');
QuarantineFile('C:\Windows\system32\drivers\05872803.sys', '');
QuarantineFileF('C:\ProgramData\Torrent_Search_PED', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\Program Files (x86)\185D2380-1443971473-11DD-8C33-F0795970F93A\knss74CC.tmpfs', '32');
DeleteFile('C:\Windows\TEMP\343DC46.sys', '32');
DeleteFile('C:\Windows\TEMP\3A3D42D.sys', '32');
DeleteFile('C:\Program Files (x86)\Note-up\note-up.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\NUIns\NUIns.exe', '32');
DeleteFile('C:\Program Files (x86)\Torrent Search\hCPw4ow.exe', '32');
DeleteService('4F967E946F579371');
DeleteService('4F967BC24BBFA971');
DeleteService('dicuwowe');
DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
DeleteFileMask('C:\ProgramData\Torrent_Search_PED', '*', true);
DeleteDirectory('C:\Program Files (x86)\Torrent Search');
DeleteDirectory('C:\ProgramData\Torrent_Search_PED');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Note-up');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteFile('schtasks.exe', '/delete /TN "PED_Torrent_Search" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PED_Torrent_Search.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2.job" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке [B][COLOR="#FF0000"]"Прислать запрошенный карантин"[/COLOR][/B] вверху данной темы.

[B]2.[/B] Сделайте новый лог AutoLogger'a.
02.03.2017, 21:09
Server0

Вложений: 1

Карантин загрузил.Новые логи прилагаю.Спасибо!
03.03.2017, 10:50
Сомнение

Добрый день!

1. Удалите Torrent Search (TSearch) через "Установку и удаление программ".

2. Выполните скрипт в AVZ:

[CODE]
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
[/CODE]
архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.
09.03.2017, 21:14
Server0

Удалил TSearch.Пытался запустить скрипт,но он выдаёт,что приложение запустится через несколько минут,при этом ожидал около часа и никаких изменений не наблюдал.В списке процессов 7zip не увидел,архив report7z так и не появился.
10.03.2017, 13:16
Сомнение

Присутствуют какие-либо проблемы на компьютере ?
11.03.2017, 14:58
Server0

Да.Иногда просто так открывается браузер на ссылку с рекламой казино и т.п.А так вроде больше ничего.
11.03.2017, 16:59
Сомнение

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
11.03.2017, 21:49
Server0

Вложений: 1

Скачал.Провел процедуру.Файл прилагаю.
13.03.2017, 09:44
Сомнение

Файл [B]Addition.txt [/B] не приложили.

Амиго сами ставили ?
13.03.2017, 19:45
Server0

Нет,не устанавливал.
14.03.2017, 11:30
Сомнение

Вы отправите запрашиваемый лог или нет ?
14.03.2017, 19:27
Server0

Извиняюсь,что сразу не сказал.Этот отчёт не был создан,хотя это процедуру проводил впервые.
15.03.2017, 13:13
Сомнение

Поставьте галочку на Addition.txt.

[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]
15.03.2017, 18:53
Server0

Вложений: 1

Прилагаю файл.
16.03.2017, 11:19
Сомнение

Удалите, через "установку и удаление программ".

[CODE]AnySend
Note-up
Амиго [/CODE]

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
Task: {0D00D976-5AA3-4306-995D-D471FD12CFB6} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {6CA15760-EF8F-42A8-A2DE-7CF1855C883D} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {B39BE9FD-4FC6-412D-A5FD-41D6CE98C54D} - System32\Tasks\InternetDE => Firefox.exe hxxp://grfast.ru/skylandsm
Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\hCPw4ow.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\hCPw4ow.exe <==== ATTENTION
HKLM-x32\...\RunOnce: [{09B610E9-E448-469A-8B94-6EDE58AFE908}] => C:\Users\Admin\AppData\Local\Temp\{787A47E2-35C6-4EA9-923F-35C790B8F246}\{09B610E9-E448-469A-8B94-6EDE58AFE908}.cmd <===== ATTENTION
HKU\S-1-5-21-2067427063-66252608-1990890441-1001\...\Run: [amigo] => C:\Users\User\AppData\Local\Amigo\Application\amigo.exe [3395048 2017-02-15] (Mail.Ru)
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2067427063-66252608-1990890441-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-2067427063-66252608-1990890441-1001 - TSearch - {6E727987-C8EA-44DA-8749-310C0FBE3C3E} - No File
URLSearchHook: HKU\S-1-5-21-2067427063-66252608-1990890441-1001 - TSearch - {6E727987-C8EA-44DA-8749-310C0FBE3C3E} - C:\Program Files (x86)\Torrent Search\IEEF\lveCOKM.dll No File
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> No File
FF Extension: (TSearch) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2017-03-07] [not signed]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
2017-01-03 23:43 - 2017-03-11 10:37 - 00000334 _____ C:\Windows\Tasks\Update Service for Torrent Search2.job
2016-12-16 19:56 - 2016-12-16 19:56 - 00003604 _____ C:\Windows\System32\Tasks\InternetDE
2017-03-11 10:37 - 2015-10-04 18:12 - 00000334 _____ C:\Windows\Tasks\Update Service for Torrent Search.job
2017-03-01 23:28 - 2016-05-27 20:48 - 00000000 ____D C:\Users\Все пользователи\Torrent_Search_PED
2017-03-01 23:28 - 2016-05-27 20:48 - 00000000 ____D C:\ProgramData\Torrent_Search_PED
2015-08-15 19:43 - 2015-08-15 19:43 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
16.03.2017, 20:17
Server0

Вложений: 1

Провёл все процедуры.Прилагаю файл.
17.03.2017, 12:54
Сомнение

Проблема с рекламой решена?
18.03.2017, 00:04
Server0

Да,решена.Спасибо.

Показывать 40 сообщений этой темы на одной странице