Чистка после заражения

**Server0** · 26.02.2017, 20:23

Было много вирусов.Просканировал д-ром Вэбом,Касперским,CUREIT.Есть подозрения,что что-то могло остаться.Прошу проверить на наличие вирусов.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.02.2017, 20:24

Уважаемый(ая) Server0, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 27.02.2017, 11:16

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\note-up\note-up.exe');
 StopService('4F967E946F579371');
 StopService('4F967BC24BBFA971');
 StopService('dicuwowe');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\hCPw4ow.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\NUIns\NUIns.exe', '');
 QuarantineFile('c:\program files (x86)\note-up\note-up.exe', '');
 QuarantineFile('C:\Windows\TEMP\3A3D42D.sys', '');
 QuarantineFile('C:\Windows\TEMP\343DC46.sys', '');
 QuarantineFile('C:\Program Files (x86)\185D2380-1443971473-11DD-8C33-F0795970F93A\knss74CC.tmpfs', '');
 QuarantineFile('C:\Windows\system32\drivers\1478520A.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\05872803.sys', '');
 QuarantineFileF('C:\ProgramData\Torrent_Search_PED', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\185D2380-1443971473-11DD-8C33-F0795970F93A\knss74CC.tmpfs', '32');
 DeleteFile('C:\Windows\TEMP\343DC46.sys', '32');
 DeleteFile('C:\Windows\TEMP\3A3D42D.sys', '32');
 DeleteFile('C:\Program Files (x86)\Note-up\note-up.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\NUIns\NUIns.exe', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\hCPw4ow.exe', '32');
 DeleteService('4F967E946F579371');
 DeleteService('4F967BC24BBFA971');
 DeleteService('dicuwowe');
 DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
 DeleteFileMask('C:\ProgramData\Torrent_Search_PED', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Torrent Search');
 DeleteDirectory('C:\ProgramData\Torrent_Search_PED');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Note-up');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 ExecuteFile('schtasks.exe', '/delete /TN "PED_Torrent_Search" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PED_Torrent_Search.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2.job" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Сделайте новый лог AutoLogger'a.

**Server0** · 02.03.2017, 21:09

Карантин загрузил.Новые логи прилагаю.Спасибо!

**Сомнение** · 03.03.2017, 10:50

Добрый день!

1. Удалите Torrent Search (TSearch) через "Установку и удаление программ".

2. Выполните скрипт в AVZ:

Код:

var PathAutoLogger, CMDLine : string;

begin
   clearlog;
   PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
   AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
    SaveLog(PathAutoLogger+'report3.log');
        if FolderIsEmpty(PathAutoLogger+'CrashDumps')
                then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
                else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
          if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
                else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
    AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.

**Server0** · 09.03.2017, 21:14

Удалил TSearch.Пытался запустить скрипт,но он выдаёт,что приложение запустится через несколько минут,при этом ожидал около часа и никаких изменений не наблюдал.В списке процессов 7zip не увидел,архив report7z так и не появился.

**Сомнение** · 10.03.2017, 13:16

Присутствуют какие-либо проблемы на компьютере ?

**Server0** · 11.03.2017, 14:58

Да.Иногда просто так открывается браузер на ссылку с рекламой казино и т.п.А так вроде больше ничего.

**Сомнение** · 11.03.2017, 16:59

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Server0** · 11.03.2017, 21:49

Скачал.Провел процедуру.Файл прилагаю.

**Сомнение** · 13.03.2017, 09:44

Файл Addition.txt не приложили.

Амиго сами ставили ?

**Server0** · 13.03.2017, 19:45

Нет,не устанавливал.

**Сомнение** · 14.03.2017, 11:30

Вы отправите запрашиваемый лог или нет ?

**Server0** · 14.03.2017, 19:27

Извиняюсь,что сразу не сказал.Этот отчёт не был создан,хотя это процедуру проводил впервые.

**Сомнение** · 15.03.2017, 13:13

Поставьте галочку на Addition.txt.

**Server0** · 15.03.2017, 18:53

Прилагаю файл.

**Сомнение** · 16.03.2017, 11:19

Удалите, через "установку и удаление программ".

Код:

AnySend
Note-up 
Амиго

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Task: {0D00D976-5AA3-4306-995D-D471FD12CFB6} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {6CA15760-EF8F-42A8-A2DE-7CF1855C883D} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {B39BE9FD-4FC6-412D-A5FD-41D6CE98C54D} - System32\Tasks\InternetDE => Firefox.exe hxxp://grfast.ru/skylandsm
Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\hCPw4ow.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\hCPw4ow.exe <==== ATTENTION
HKLM-x32\...\RunOnce: [{09B610E9-E448-469A-8B94-6EDE58AFE908}] => C:\Users\Admin\AppData\Local\Temp\{787A47E2-35C6-4EA9-923F-35C790B8F246}\{09B610E9-E448-469A-8B94-6EDE58AFE908}.cmd <===== ATTENTION
HKU\S-1-5-21-2067427063-66252608-1990890441-1001\...\Run: [amigo] => C:\Users\User\AppData\Local\Amigo\Application\amigo.exe [3395048 2017-02-15] (Mail.Ru)
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2067427063-66252608-1990890441-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-2067427063-66252608-1990890441-1001 - TSearch - {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -  No File
URLSearchHook: HKU\S-1-5-21-2067427063-66252608-1990890441-1001 - TSearch - {6E727987-C8EA-44DA-8749-310C0FBE3C3E} - C:\Program Files (x86)\Torrent Search\IEEF\lveCOKM.dll No File
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> No File
FF Extension: (TSearch) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2017-03-07] [not signed]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
2017-01-03 23:43 - 2017-03-11 10:37 - 00000334 _____ C:\Windows\Tasks\Update Service for Torrent Search2.job
2016-12-16 19:56 - 2016-12-16 19:56 - 00003604 _____ C:\Windows\System32\Tasks\InternetDE
2017-03-11 10:37 - 2015-10-04 18:12 - 00000334 _____ C:\Windows\Tasks\Update Service for Torrent Search.job
2017-03-01 23:28 - 2016-05-27 20:48 - 00000000 ____D C:\Users\Все пользователи\Torrent_Search_PED
2017-03-01 23:28 - 2016-05-27 20:48 - 00000000 ____D C:\ProgramData\Torrent_Search_PED
2015-08-15 19:43 - 2015-08-15 19:43 - 0000000 ____H () C:\ProgramData\DP45977C.lfl

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Server0** · 16.03.2017, 20:17

Провёл все процедуры.Прилагаю файл.

**Сомнение** · 17.03.2017, 12:54

Проблема с рекламой решена?

**Server0** · 18.03.2017, 00:04

Да,решена.Спасибо.

Чистка после заражения (заявка № 209788)

Опции темы