Помогите

**Rauf Gedadze** · 18.12.2016, 17:22

Есть подозрения на то что в моей системе подключен скрытый удаленный доступ так как вчера обнаружил фаил в папке windews с логами моих действий сразу кинул эти логи в карантин еще со вчерашнего дня в браузере началась открываться реклама так же скачался всякий ширпотреб от mail
Вот линк который вылетает при открытии рекламы ссылки на рекламные сайты удалены

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.12.2016, 17:24

Уважаемый(ая) Rauf Gedadze, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.12.2016, 21:37

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\1\appdata\local\temp\3a02.tmp.exe');
 QuarantineFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '');
 QuarantineFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '');
 DeleteFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '32');
 DeleteFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '32');
 DeleteFileMask('c:\users\1\appdata\local\filesystemdriver', '*', true);
 DeleteDirectory('c:\users\1\appdata\local\filesystemdriver');
 ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'liayvhmvmv');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'mreowuftyc');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог AdwCleaner (by Xplode).

**Rauf Gedadze** · 22.12.2016, 23:54

Простите что затянул
Файлом прикрепить не удалось
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 22:46:47
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Сканирование
# Помощь : https://www.malwarebytes.com/support

***** [ Службы ] *****

Вредоносные службы не найдены.

***** [ Папки ] *****

Найдена папка: C:\Users\1\AppData\Local\Mail.Ru
Найдена папка: C:\Users\1\AppData\Local\Nichrome
Найдена папка: C:\Users\1\AppData\Local\Xpom
Найдена папка: C:\Users\1\AppData\Local\Вoйти в Интeрнет
Найдена папка: C:\Users\1\AppData\Local\Поиcк в Интeрнете
Найдена папка: C:\ProgramData\Mail.Ru
Найдена папка: C:\ProgramData\Application Data\Mail.Ru
Найдена папка: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\extensions\[email protected]

***** [ Файлы ] *****

Найден файл: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\searchplugins\mailru.xml
Найден файл: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.local storage

***** [ DLL ] *****

Вредоносных DLL не найдено.

***** [ WMI ] *****

Не найдено вирусных ключей.

***** [ Ярлыки ] *****

Не найдено заражённых ярлыков.

***** [ Запланированные задания ] *****

Не найдено вирусных заданий.

***** [ Реестр ] *****

Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKCU\Software\Media Get LLC
Найден ключ: HKCU\Software\Mail.Ru
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\FileSystemDriver
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenk enpkmnbnndeadpfdiffof

***** [ Веб браузеры ] *****

Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\feiqy3g6.Work\prefs.js] - "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_ source=startpm&utm_term
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.search.selectedEngine" - "Поиск@Mail.Ru"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "[email protected]" - "hxxp://mail.ru/cnt/10445?gp=818407"
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=811009
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ccfifbojenkenpkmnbnndeadpfdiffof
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ojlcebdkbpjdpiligkdbbkdkfjmchbfd

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [6553 Байт] - [22/12/2016 22:46:47]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6629 Байт] ##########

**Vvvyg** · 24.12.2016, 11:36

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Rauf Gedadze** · 25.12.2016, 14:38

Все помогло огромное спасибо
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 23:05:32
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Очистка
# Помощь : https://www.malwarebytes.com/support

***** [ Службы ] *****

***** [ Папки ] *****

[-] Папка удалена: C:\Users\1\AppData\Local\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Local\Nichrome
[-] Папка удалена: C:\Users\1\AppData\Local\Xpom
[-] Папка удалена: C:\Users\1\AppData\Local\Вoйти в Интeрнет
[-] Папка удалена: C:\Users\1\AppData\Local\Поиcк в Интeрнете
[-] Папка удалена: C:\ProgramData\Mail.Ru
[#] Папка удалена при перезагрузке: C:\ProgramData\Application Data\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\extensions\[email protected]

***** [ Файлы ] *****

[-] Файл удалён: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\searchplugins\mailru.xml
[-] Файл удалён: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.local storage

***** [ DLL ] *****

***** [ WMI ] *****

***** [ Ярлыки ] *****

***** [ Запланированные задания ] *****

***** [ Реестр ] *****

[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\Media Get LLC
[#] Ключ удалён при перезагрузке: HKCU\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ удалён: HKLM\SOFTWARE\FileSystemDriver
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenk enpkmnbnndeadpfdiffof

***** [ Браузеры ] *****

[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_ source=startpm&utm_term=E73F3A02AEFADFD1E83DDD0420 4AC3F6&utm_d=20161217"
[-] Настройки Firefox очищены: "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
[-] Настройки Firefox очищены: "browser.search.selectedEngine" - "Поиск@Mail.Ru"
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
[-] Настройки Firefox очищены: "[email protected]" - "hxxp://mail.ru/cnt/10445?gp=818407"
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Удалено: hxxp://mail.ru/cnt/10445?gp=811009
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ccfifbojenkenpkmnbnndeadpfdiffof
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: oelpkepjlgmehajehfeicfbjdiobdkfj
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ojlcebdkbpjdpiligkdbbkdkfjmchbfd

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [6314 Байт] - [22/12/2016 23:05:32]
C:\AdwCleaner\AdwCleaner[S0].txt - [6711 Байт] - [22/12/2016 22:46:47]

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [6466 Байт] ##########

**Vvvyg** · 25.12.2016, 20:26

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 25.12.2016, 20:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 9
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите (заявка № 207117)

Опции темы