здравствуйте!
собственно замучали уже эти майнеры, каспер их детектирует, запускает программу лечения активного заражения,
ребутает машину и снова их же детектит. Так по кругу до бесконечности. Логи во вложении. Спасибо
Printable View
здравствуйте!
собственно замучали уже эти майнеры, каспер их детектирует, запускает программу лечения активного заражения,
ребутает машину и снова их же детектит. Так по кругу до бесконечности. Логи во вложении. Спасибо
Уважаемый(ая) [B]center[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk" -> ["C:\ProgramData\qEZfPBcDs\QQKDTc0.bat" =>> --profile-directory=Default]
>>> "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e970b0a24e839a00\Yandex.lnk" -> ["C:\Users\user\AppData\Local\ZcxZkE\PivdPar1.bat" =>> --profile-directory=Default]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>> "C:\Users\fkr43_000\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdwCleaner\AdwCleaner.lnk" -> ["C:\Program Files (x86)\AdwCleaner\AdwCleaner.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\AdwCleaner.lnk" -> ["C:\Program Files (x86)\AdwCleaner\AdwCleaner.exe"][/CODE]
Отчёт о работе прикрепите.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Устанавливайте все хотфиксы и обновления по ссылкам из лога. Майнеров в автозапуске нет, подсаживают через уязвимости.
Всё, что найдётся касательно браузеров, продуктов Adobe - тоже обновляйте.
Источник заразы, скорее всего, в локальной сети, обновлять нужно ВСЕ компьютеры.
логи clearlnk
Ну и SecurityCheck.txt тоже прикрепите. После обновлений проблема ушла?
еще логи
еще обратил внимание, что в programData появилась куча подкаталогов типа wdhshd
может это следы или майнеры все еще работают (смотрите скрин)
еще: как то странно запускается обновление скайпа, обычно окно маленькое, а тут большое и оно просит права администратора на запуск, обычно просто жмешь обновить и все
да и каспер больше не детектит ничего, даже после полной проверки.....
Обновите или удалите:[QUOTE]--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 28 NPAPI v.28.0.0.137 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 28 PPAPI v.28.0.0.137 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color][/QUOTE]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
файл Addition.txt не был создан в каталоге FRST
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
пас на архив 123
Т. е. удалять эти папки с помощью FRST пробовали и безуспешно. Антивирус отключали? И Fixlog.txt какой-то обрезанный.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
первый раз FRST я запускал с сетевого диска и да он лог показал вот с этими dsfhsd в prigramData. Потом переместил на диск
с - и FRST номально же отработал записал оба файла, второй раз логи полноценные же вроде получились...
Отключите временно антивирус.
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
deldir C:\ProgramData\s5f0
deldir C:\ProgramData\s7fo
deldir C:\ProgramData\s68o
deldir C:\ProgramData\s2ic
deldir C:\ProgramData\s60o
deldir C:\ProgramData\s4u8
deldir C:\ProgramData\s78k
deldir C:\ProgramData\s6ns
deldir C:\ProgramData\s4t4
deldir C:\ProgramData\agJFKLPain
deldir C:\ProgramData\aOtPOewS
deldir C:\ProgramData\aqucNxbah
deldir C:\ProgramData\aSNTqmO
deldir C:\ProgramData\AvacmR
deldir C:\ProgramData\aVYAmVZoi
deldir C:\ProgramData\AwSYdefV
deldir C:\ProgramData\buuGlvTg
deldir C:\ProgramData\CjAUpZa
deldir C:\ProgramData\CLEyvkAmb
deldir C:\ProgramData\cLxgqvDSev
deldir C:\ProgramData\CqIKqaH
deldir C:\ProgramData\CQwrkMMy
deldir C:\ProgramData\CVBTjTFql
deldir C:\ProgramData\CwfgJS
deldir C:\ProgramData\cxupQuQ
deldir C:\ProgramData\dALEWEMRMq
deldir C:\ProgramData\dCQsJE
deldir C:\ProgramData\diIzuRi
deldir C:\ProgramData\dkvmeDELcc
deldir C:\ProgramData\DLpvmtf
deldir C:\ProgramData\DlxqZv
deldir C:\ProgramData\dmvuMMTIIX
deldir C:\ProgramData\drFrAA
deldir C:\ProgramData\DtmvGjej
deldir C:\ProgramData\DVbxkUbE
deldir C:\ProgramData\DvDPTurB
deldir C:\ProgramData\DvIRJLVKJ
deldir C:\ProgramData\dXdcWmI
deldir C:\ProgramData\dZhKFGMDjF
deldir C:\ProgramData\egYFIDW
deldir C:\ProgramData\eIFVqOOvgy
deldir C:\ProgramData\eNtwKAWCm
deldir C:\ProgramData\EqlTqGLZ
deldir C:\ProgramData\ErFLMBI
deldir C:\ProgramData\eUqHngAlM
deldir C:\ProgramData\EXKxakFAsx
deldir C:\ProgramData\EziJpojc
deldir C:\ProgramData\fftZfIDIj
deldir C:\ProgramData\FGygZtnW
deldir C:\ProgramData\fiWnzcH
deldir C:\ProgramData\fuQfywr
deldir C:\ProgramData\fWgwIlX
deldir C:\ProgramData\GAmiHsxyfm
deldir C:\ProgramData\GbjQrHRfJx
deldir C:\ProgramData\geXlKPGPB
deldir C:\ProgramData\gGlPdR
deldir C:\ProgramData\GmXPfztX
deldir C:\ProgramData\gPNzBoTu
deldir C:\ProgramData\GrgBotRGN
deldir C:\ProgramData\gURtJFkVIq
deldir C:\ProgramData\HBGFDro
deldir C:\ProgramData\HkXoXSRS
deldir C:\ProgramData\HlpmOdAca
deldir C:\ProgramData\hRlNSLdja
deldir C:\ProgramData\HuNVzvrfx
deldir C:\ProgramData\hvaggsf
deldir C:\ProgramData\ivHtFrW
deldir C:\ProgramData\IXwXohvne
deldir C:\ProgramData\IZEJoK
deldir C:\ProgramData\JCpMDNAFGt
deldir C:\ProgramData\jenQDjG
deldir C:\ProgramData\JEOuWptQYK
deldir C:\ProgramData\JFkaQc
deldir C:\ProgramData\jHFpuu
deldir C:\ProgramData\jJidpqSK
deldir C:\ProgramData\jMAkNfkZnG
deldir C:\ProgramData\jpPuijmB
deldir C:\ProgramData\JRwukCW
deldir C:\ProgramData\jTarSunepb
deldir C:\ProgramData\kAuJkcHrW
deldir C:\ProgramData\KbOOIwflev
deldir C:\ProgramData\KDNoCAI
deldir C:\ProgramData\KfDkSPUec
deldir C:\ProgramData\KktHfG
deldir C:\ProgramData\lAheLfT
deldir C:\ProgramData\LBbHtpl
deldir C:\ProgramData\leZxYCJ
deldir C:\ProgramData\lissavvo
deldir C:\ProgramData\LRTMgYBm
deldir C:\ProgramData\ltMGKPHnl
deldir C:\ProgramData\lXqtMT
deldir C:\ProgramData\lYSvGvFoQt
deldir C:\ProgramData\mEehyywKx
deldir C:\ProgramData\MLMLlh
deldir C:\ProgramData\msueAbDhm
deldir C:\ProgramData\MubbhPRZh
deldir C:\ProgramData\mZNBEAlXe
deldir C:\ProgramData\nayoXLT
deldir C:\ProgramData\NGLzSwjS
deldir C:\ProgramData\NIECjTxY
deldir C:\ProgramData\nmQHIFGp
deldir C:\ProgramData\NnIBle
deldir C:\ProgramData\NZGPkenRIR
deldir C:\ProgramData\OjtVFbFe
deldir C:\ProgramData\onLcYI
deldir C:\ProgramData\OpgBTqr
deldir C:\ProgramData\OUKfTaWs
deldir C:\ProgramData\oZobAgc
deldir C:\ProgramData\piwPdbnvjl
deldir C:\ProgramData\PjTiizhXHx
deldir C:\ProgramData\PkfLnQM
deldir C:\ProgramData\pnpnYmcRa
deldir C:\ProgramData\qKgtMQLjy
deldir C:\ProgramData\QlTQJf
deldir C:\ProgramData\qPBBgO
deldir C:\ProgramData\qpjdst
deldir C:\ProgramData\qrbdLtR
deldir C:\ProgramData\QXzcPpYh
deldir C:\ProgramData\QzYXwzwWCm
deldir C:\ProgramData\rDuYZpIO
deldir C:\ProgramData\RFFxTwuWv
deldir C:\ProgramData\rFmrtXtZ
deldir C:\ProgramData\RHcYluaXU
deldir C:\ProgramData\rkuwpnEBHS
deldir C:\ProgramData\rNBCYgbv
deldir C:\ProgramData\rOVjBlsR
deldir C:\ProgramData\rRZQwZnUeP
deldir C:\ProgramData\RtIPhulQn
deldir C:\ProgramData\RVLoEg
deldir C:\ProgramData\sCePIfwY
deldir C:\ProgramData\sGzOIoV
deldir C:\ProgramData\shNQxc
deldir C:\ProgramData\shnUuXHjMn
deldir C:\ProgramData\SIWAVeFlkJ
deldir C:\ProgramData\sKcYCGa
deldir C:\ProgramData\sKepcSpPS
deldir C:\ProgramData\snUwPIKNvI
deldir C:\ProgramData\sQsplw
deldir C:\ProgramData\SujysaDF
deldir C:\ProgramData\sVvfeDd
deldir C:\ProgramData\SwfibN
deldir C:\ProgramData\taULfSjvgM
deldir C:\ProgramData\teBWYqhMYK
deldir C:\ProgramData\uBvOfDis
deldir C:\ProgramData\uemsCsKoAA
deldir C:\ProgramData\UmjKReYgv
deldir C:\ProgramData\uqvmggUyKl
deldir C:\ProgramData\UrbLYBQC
deldir C:\ProgramData\VhBlIaGw
deldir C:\ProgramData\vKqIygm
deldir C:\ProgramData\VYpmGOOhCJ
deldir C:\ProgramData\wCzVYRwJ
deldir C:\ProgramData\wIhLiyetV
deldir C:\ProgramData\WKFqdsQlI
deldir C:\ProgramData\wkWvuquQkK
deldir C:\ProgramData\WnppGqL
deldir C:\ProgramData\WPVRVYr
deldir C:\ProgramData\wuArwL
deldir C:\ProgramData\WWjeIJG
deldir C:\ProgramData\WXcwNRHDp
deldir C:\ProgramData\WybLAUqB
deldir C:\ProgramData\XNHRiaXfTc
deldir C:\ProgramData\xqCGFcs
deldir C:\ProgramData\xUHzrjg
deldir C:\ProgramData\xxiWlD
deldir C:\ProgramData\yCqmOMwJVD
deldir C:\ProgramData\yfhKZDqTvu
deldir C:\ProgramData\yGbvAwn
deldir C:\ProgramData\ygngDC
deldir C:\ProgramData\YibNgQn
deldir C:\ProgramData\YjjDeNUh
deldir C:\ProgramData\YWpwJXfCNH
deldir C:\ProgramData\YxSchbRHf
deldir C:\ProgramData\yXYXuP
deldir C:\ProgramData\Zjmlkyi
deldir C:\ProgramData\ZKbWCBJMJ
deldir C:\ProgramData\ZMPEQwsN
deldir C:\ProgramData\zpfLauQsqW
deldir C:\ProgramData\zwaBRBC
deldir C:\ProgramData\ZWiXFHN
deldir C:\ProgramData\zxjknyy
deltmp
apply
restart[/CODE]
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
визуально в programData остались еще каталоги типа dssdsd, но теперь их 29 всего
Удалите аналогичным скриптом, команды только deldir и далее полный путь к папкеr. Только аккуратно.
Так ну ок - подправил предыдущий скрипт, с учетом не удаленных каталогов.
Теперь визуально никаких каталогов типа sdsdsd в programData нет, все хорошо каспер ничего не детектит, только uvs пишет, что неизвестный загрузчик в MBR...как это отследить?
Просто в клиентском наборе UVS нет хэшей проверенных файлов. Всё в порядке с MBR.
Тогда всё на этом?
да. спасибо за помощь!