Junior Member (OID)
Вес репутации
33
Помогите
Есть подозрения на то что в моей системе подключен скрытый удаленный доступ так как вчера обнаружил фаил в папке windews с логами моих действий сразу кинул эти логи в карантин еще со вчерашнего дня в браузере началась открываться реклама так же скачался всякий ширпотреб от mail
Вот линк который вылетает при открытии рекламы ссылки на рекламные сайты удалены
Вложения
Последний раз редактировалось Vvvyg; 19.12.2016 в 21:22 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Rauf Gedadze , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\1\appdata\local\temp\3a02.tmp.exe');
QuarantineFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '');
QuarantineFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '');
QuarantineFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '');
DeleteFile('c:\users\1\appdata\local\temp\3a02.tmp.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\Temp\startpm.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '32');
DeleteFile('c:\users\1\appdata\local\temp\1515.tmp.exe', '32');
DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '32');
DeleteFileMask('c:\users\1\appdata\local\filesystemdriver', '*', true);
DeleteDirectory('c:\users\1\appdata\local\filesystemdriver');
ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'liayvhmvmv');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'mreowuftyc');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог AdwCleaner (by Xplode) .
Junior Member (OID)
Вес репутации
33
Простите что затянул
Файлом прикрепить не удалось
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 22:46:47
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Сканирование
# Помощь : https://www.malwarebytes.com/support
***** [ Службы ] *****
Вредоносные службы не найдены.
***** [ Папки ] *****
Найдена папка: C:\Users\1\AppData\Local\Mail.Ru
Найдена папка: C:\Users\1\AppData\Local\Nichrome
Найдена папка: C:\Users\1\AppData\Local\Xpom
Найдена папка: C:\Users\1\AppData\Local\Вoйти в Интeрнет
Найдена папка: C:\Users\1\AppData\Local\Поиcк в Интeрнете
Найдена папка: C:\ProgramData\Mail.Ru
Найдена папка: C:\ProgramData\Application Data\Mail.Ru
Найдена папка: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\extensions\[email protected]
***** [ Файлы ] *****
Найден файл: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\searchplugins\mailru.xml
Найден файл: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.local storage
***** [ DLL ] *****
Вредоносных DLL не найдено.
***** [ WMI ] *****
Не найдено вирусных ключей.
***** [ Ярлыки ] *****
Не найдено заражённых ярлыков.
***** [ Запланированные задания ] *****
Не найдено вирусных заданий.
***** [ Реестр ] *****
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKCU\Software\Media Get LLC
Найден ключ: HKCU\Software\Mail.Ru
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\FileSystemDriver
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://mail.ru/cnt/10445?gp=818407
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] -
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenk enpkmnbnndeadpfdiffof
***** [ Веб браузеры ] *****
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\feiqy3g6.Work\prefs.js] - "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_ source=startpm&utm_term
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.search.selectedEngine" - "Поиск@Mail.Ru"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
Найдена настройка Firefox: [C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\prefs.js] - "[email protected] " - "hxxp://mail.ru/cnt/10445?gp=818407"
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=811009
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ccfifbojenkenpkmnbnndeadpfdiffof
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - ojlcebdkbpjdpiligkdbbkdkfjmchbfd
*************************
C:\AdwCleaner\AdwCleaner[S0].txt - [6553 Байт] - [22/12/2016 22:46:47]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6629 Байт] ##########
Последний раз редактировалось Rauf Gedadze; 23.12.2016 в 00:03 .
Удалите всё найденное в AdwCleaner , дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
Junior Member (OID)
Вес репутации
33
Все помогло огромное спасибо
# AdwCleaner v6.041 - Отчёт создан 22/12/2016 в 23:05:32
# Обновлено 16/12/2016 by Malwarebytes
# База данных : 2016-12-21.1 [Сервер]
# Операционная система : Windows 7 Starter Service Pack 1 (X86)
# Имя пользователя : 1 - 1-ПК
# Запущено из : C:\Users\1\Desktop\adwcleaner_6.041 (1).exe
# Режим: Очистка
# Помощь : https://www.malwarebytes.com/support
***** [ Службы ] *****
***** [ Папки ] *****
[-] Папка удалена: C:\Users\1\AppData\Local\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Local\Nichrome
[-] Папка удалена: C:\Users\1\AppData\Local\Xpom
[-] Папка удалена: C:\Users\1\AppData\Local\Вoйти в Интeрнет
[-] Папка удалена: C:\Users\1\AppData\Local\Поиcк в Интeрнете
[-] Папка удалена: C:\ProgramData\Mail.Ru
[#] Папка удалена при перезагрузке: C:\ProgramData\Application Data\Mail.Ru
[-] Папка удалена: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\extensions\[email protected]
***** [ Файлы ] *****
[-] Файл удалён: C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profile s\6ypmz8mm.User\searchplugins\mailru.xml
[-] Файл удалён: C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.local storage
***** [ DLL ] *****
***** [ WMI ] *****
***** [ Ярлыки ] *****
***** [ Запланированные задания ] *****
***** [ Реестр ] *****
[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
[-] Ключ удалён: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
[-] Ключ удалён: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
[-] Ключ удалён: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
[-] Ключ удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Media Get LLC
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Mail.Ru
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\AppDataLow\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\Media Get LLC
[#] Ключ удалён при перезагрузке: HKCU\Software\Mail.Ru
[#] Ключ удалён при перезагрузке: HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ удалён: HKLM\SOFTWARE\FileSystemDriver
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[-] Ключ удалён: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKU\S-1-5-21-1097852898-2648952193-3489749739-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}
[#] Ключ удалён при перезагрузке: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение восстановлено: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenk enpkmnbnndeadpfdiffof
***** [ Браузеры ] *****
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_ source=startpm&utm_term=E73F3A02AEFADFD1E83DDD0420 4AC3F6&utm_d=20161217"
[-] Настройки Firefox очищены: "browser.search.hiddenOneOffs" - "Яндекс,Google,OZON.ru,Price.ru,Википедия (ru),Поиск@Mail.Ru,Яндекс.Словари"
[-] Настройки Firefox очищены: "browser.search.selectedEngine" - "Поиск@Mail.Ru"
[-] Настройки Firefox очищены: "browser.startup.homepage" - "hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818407"
[-] Настройки Firefox очищены: "[email protected] " - "hxxp://mail.ru/cnt/10445?gp=818407"
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Удалено: hxxp://mail.ru/cnt/10445?gp=811009
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ccfifbojenkenpkmnbnndeadpfdiffof
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: oelpkepjlgmehajehfeicfbjdiobdkfj
[-] [C:\Users\1\AppData\Local\Google\Chrome\User Data\Default] [extension] Удалено: ojlcebdkbpjdpiligkdbbkdkfjmchbfd
*************************
:: Ключи "Tracing" удалены
:: Настройки Winsock очищены
*************************
C:\AdwCleaner\AdwCleaner[C0].txt - [6314 Байт] - [22/12/2016 23:05:32]
C:\AdwCleaner\AdwCleaner[S0].txt - [6711 Байт] - [22/12/2016 22:46:47]
########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt - [6466 Байт] ##########
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall) .
Выполните рекомендации после лечения .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 9 В ходе лечения вредоносные программы в карантинах не обнаружены