Поймал вирус, nemes.exe

Printable View

18.05.2017, 18:14
xttippledb

Вложений: 1

Поймал вирус, nemes.exe

Здравствуйте, дорогие администраторы, на сайте впервые, ибо вирусы редко ловлю. Сегодня друг скинул зип архив с парой файлов, внутри лежал exe файл, ну я открыл. На рабочий стол полетели амиго и прочие рекламные вирусы. В безопасном режиме пробовал сканировать cureit, в итоге зависает, когда находит троян nemes.exe, вроде так называется. В процессах пока ничего нет, но иногда в браузере всплывает реклама, открываются произвольно окна, прошу помочь мне, не знаю что с этим делать. Инфы о трояне в интернете не нашел.
18.05.2017, 18:18
Info_bot

Уважаемый(ая) [B]xttippledb[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.05.2017, 19:55
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteFile('schtasks.exe', '/delete /TN "top9blogcomqazs" /F', 0, 15000, true);
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
18.05.2017, 20:05
Dragokas

Здравствуйте, xttippledb!

Скопируйте на рабочий стол папку:
[quote]
c:\windows\system32\tasks
[/quote]
Заархивируйте.

Откройте редактор реестра (нажать win + R, ввести regedit)
Перейдите в ветку:
[quote]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
[/quote]
Правой кнопкой клик по Schedule => Экспортировать, сохраните на рабочий стол. Заархивируйте.

Оба архива, пожалуйста, прикрепите к своему сообщению.
18.05.2017, 20:28
xttippledb

Вложений: 3

Скрипт выполнил.

[QUOTE=thyrex;1450051]Выполните скрипт в AVZ
[code]begin
ExecuteFile('schtasks.exe', '/delete /TN "top9blogcomqazs" /F', 0, 15000, true);
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B][/QUOTE]

Вроде сделал, логи вот.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Dragokas;1450057]Здравствуйте, xttippledb!

Скопируйте на рабочий стол папку:

Заархивируйте.

Откройте редактор реестра (нажать win + R, ввести regedit)
Перейдите в ветку:

Правой кнопкой клик по Schedule => Экспортировать, сохраните на рабочий стол. Заархивируйте.

Оба архива, пожалуйста, прикрепите к своему сообщению.[/QUOTE]

Держите.
19.05.2017, 16:08
xttippledb

Срочно апаю, нужна помощь, ибо походу кейлоггер какой-то, вк заблокировали, по причине взлома.
19.05.2017, 17:12
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
19.05.2017, 17:46
xttippledb

Вложений: 1

Сделал.

[QUOTE=thyrex;1450205]Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.[/QUOTE]

Сделал, держите.
20.05.2017, 18:30
xttippledb

Апаю, помогите пожалуйста.
21.05.2017, 12:07
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [ YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => -> No File
ShellIconOverlayIdentifiers: [ YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => -> No File
ShellIconOverlayIdentifiers: [ YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => -> No File
ShellIconOverlayIdentifiers: [ YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => -> No File
CHR HKU\S-1-5-21-3043745340-3208441391-3037536899-1008\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 Coupons Browser Update Service; C:\Program Files (x86)\Ultimate-Discounter Browser\udservice.exe /svc [X]
2017-05-18 16:57 - 2017-05-18 16:57 - 00001103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ultimate-Discounter Browser.lnk
2017-05-18 16:56 - 2017-05-18 17:07 - 00000000 ____D C:\Users\ПК\AppData\Local\Amigo
2016-12-24 00:02 - 2016-12-25 16:06 - 0000068 _____ () C:\Users\ПК\AppData\Local\Temp\f203f38a0a87312e770c9baea8d27d8c.dll
2016-12-24 00:02 - 2016-12-24 00:02 - 0000512 _____ () C:\Users\ПК\AppData\Local\Temp\fd585b8e864cc41e70aa800112186ec8.dll
Task: {71106104-1BF5-41AA-8549-93F2DAE47A18} - System32\Tasks\ЕвгенийCowslipInvidiousV2 => Rundll32.exe IlluminatingEspial.dll,main 7 1 <==== ATTENTION
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:NT2 [346]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
21.05.2017, 14:41
xttippledb

Вложений: 1

Вот, кстати, вируса не было видно со вчерашнего вечера, правда не уверен.
21.05.2017, 16:22
thyrex

На этом все.