Недавно был атакован вирусом, были украдены пароли и тд, сейчас же начали запускаться разные приложения в x32, а не x64 как раньше.
Чистку проводил, но кажется что-то, да осталось.
Недавно был атакован вирусом, были украдены пароли и тд, сейчас же начали запускаться разные приложения в x32, а не x64 как раньше.
Чистку проводил, но кажется что-то, да осталось.
Уважаемый(ая) [B]4yDak[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Ну?
Кто-нибудь смотрел?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Ээээй
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 192.168.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
QuarantineFile('c:\programdata\windowssql\com surrogate.exe', '');
DeleteFile('c:\programdata\windowssql\com surrogate.exe', '32');
DeleteFile('C:\Users\Intel\Favorites\Links\Интернет.url', '32');
DeleteFileMask('c:\programdata\windowssql', '*', true);
DeleteDirectory('c:\programdata\windowssql');
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Карантин отправил.
Логи:
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Случайно кинул Check_Browsers_LNK.log из архива :с
Выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
TerminateProcessByName('c:\programdata\framework\windows driver.exe');
QuarantineFile('c:\programdata\framework\windows driver.exe', '');
DeleteFile('c:\programdata\framework\windows driver.exe', '32');
DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll', '32');
DeleteFile('C:\ProgramData\Framework\Qt5Network.dll', '32');
DeleteFile('C:\ProgramData\Framework\Qt5Core.dll', '32');
DeleteFile('C:\ProgramData\Framework\ssleay32.dll', '32');
DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll', '32');
DeleteFileMask('c:\programdata\framework', '*', true);
DeleteDirectory('c:\programdata\framework');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
Карантин отправил!
Вот:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
() C:\ProgramData\DirectX11b\System.exe
File: C:\ProgramData\DirectX11b\System.exe
2017-09-29 18:02 - 2016-02-17 21:43 - 000008192 ____H () C:\ProgramData\DirectX11b\System.exe
R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
C:\ProgramData\DirectX11b
CHR Profile: C:\Users\Intel\AppData\Local\Google\Chrome\User Data\System Profile [2017-07-19]
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Не могу кинуть образ автозапуска т.к. он весит больше 100кб :с
Вот лог:
Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
[url]http://rgho.st/8K5bpDTbC[/url]
Ставьте заплатки для системы, иначе до бесконечности лечиться можно. Эту [url]http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212[/url] в первую очередь и обязательно, в идеале - все обновления.
Затем долечивать.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bl 818DB8AB8F364495A38DE6E00D50F015 406528
addsgn 1A8F7E9A5583DD8CF42B627DA804DEC9E946303A4536D3C184C3C5BCA2D961619B678757D549244B2B80846D4906643A0D9BE8995863B32C2D775620D72B9A03 8 Win32/BitCoinMiner.D [ESET-NOD32] 7
chklst
delvir
deldir %SystemDrive%\PROGRAMDATA\FRAMEWORK
delref %Sys32%\DRIVERS\UZI2NDA2.SYS
cexec sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
cexec sc.exe config mrxsmb10 start= disabled
apply
deltmp
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сделайте новый полный образ автозапуска uVS, загрузите и дайте ссылку.
[url]http://rgho.st/8sSNvJHrs[/url]
Чисто.
Рекомендую удалить SpyHunter, бесполезная программа.
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\framework\windows driver.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.hxao[/B][*] c:\programdata\windowssql\com surrogate.exe - [B]Trojan.VBS.Agent.ajd[/B][/LIST][/LIST]