Мигает курсор на Windows 10, подозрение на следы от вируса.

**red_man** · 08.02.2017, 15:07

Добрый день!

Помогите пожалуйста, на 10ке словили вирусную атаку и при загрузке Каспер регулярно ругается на файл: с:\programdata\networkpacketmanitor\crambo.exe

Все хвосты вроде удалил, но теперь при работе постоянно мигает курсор (как будто идет какая-то фоновая активность).

логи прикрепил.

Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.02.2017, 15:08

Уважаемый(ая) red_man, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.02.2017, 21:54

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ТСК\AppData\Roaming\Adobe\Manager.exe','');
 DeleteFile('C:\Users\ТСК\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**red_man** · 14.02.2017, 18:39

Карантин не приклепляется, впрочем он всёравно пустой (1кб).
Новые логи приложены.

Спасибо.

**thyrex** · 15.02.2017, 20:56

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**red_man** · 15.02.2017, 23:19

Прикрепляю запрошенные отчеты.

**thyrex** · 16.02.2017, 22:35

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-810933884-2722573550-1984485699-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDtyJO3cMaQvjc0FfBcXULAWTKEKg09_DDiTvbB-UXa90KSvp3LlDnLEPBMazqxQIWVSCMbLbR-I-ERSBmzCusVuODHbWEKwQ-K7RgMolUz22Vs531-c9mi5FxCL_DPG4xTd1PKgWQBFWxsHOAZYuvooYzy&q={searchTerms}
HKU\S-1-5-21-810933884-2722573550-1984485699-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDtyJO3cMaQvjc0FfBcXULAWTKEKg09_DDiTvbB-UXa90KSvp3LlDnLEPBMazqxQIlZPWDIZTsj2SOzrtXioHsdzMqJN3RCiW4XEDe-B401SykDLHCFlzZGlJAbGBzZeYI0UYubvpMHyb5QKDPVKlRcMfdT
SearchScopes: HKU\S-1-5-21-810933884-2722573550-1984485699-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDtyJO3cMaQvjc0FfBcXULAWTKEKg09_DDiTvbB-UXa90KSvp3LlDnLEPBMazqxQIWVSCMbLbR-I-ERSBmzCusVuODHbWEKwQ-K7RgMolUz22Vs531-c9mi5FxCL_DPG4xTd1PKgWQBFWxsHOAZYuvooYzy&q={searchTerms}
SearchScopes: HKU\S-1-5-21-810933884-2722573550-1984485699-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDtyJO3cMaQvjc0FfBcXULAWTKEKg09_DDiTvbB-UXa90KSvp3LlDnLEPBMazqxQIWVSCMbLbR-I-ERSBmzCusVuODHbWEKwQ-K7RgMolUz22Vs531-c9mi5FxCL_DPG4xTd1PKgWQBFWxsHOAZYuvooYzy&q={searchTerms}
SearchScopes: HKU\S-1-5-21-810933884-2722573550-1984485699-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDtyJO3cMaQvjc0FfBcXULAWTKEKg09_DDiTvbB-UXa90KSvp3LlDnLEPBMazqxQIWVSCMbLbR-I-ERSBmzCusVuODHbWEKwQ-K7RgMolUz22Vs531-c9mi5FxCL_DPG4xTd1PKgWQBFWxsHOAZYuvooYzy&q={searchTerms}
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-810933884-2722573550-1984485699-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-810933884-2722573550-1984485699-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
Task: {2258E4F9-446E-4A64-9461-36654CEED8C9} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {24494BB3-5D06-4048-976A-23E9D4A60939} - \PBot -> No File <==== ATTENTION
Task: {49822ECE-0FB7-4A13-9103-C9C8C53117B9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {49D6866E-5A2B-42C2-A3BD-FE2D1AAE588C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {4F99BB52-9131-4D60-95D6-403BFE268514} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {551497C0-39C3-4A5F-A210-4495FCDE6F96} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {6071A7D7-479B-47D8-9593-B43BDF55AA91} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {62E283E9-CF69-4515-936C-D6ABCCEF772B} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {6515D0F7-E159-4362-A519-3D928A1A8A89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {7B313C6C-93F7-479F-B1EB-4BC0878F5BF4} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {7F7F21A9-A5DF-4919-AFFD-65FD322D39F1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {83BEB0D8-4D90-431E-B4D4-B399EC35277B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {8F447009-C2E2-4E40-B3FC-6C05FFD6D49B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8FCC79C3-77E3-48D6-92DC-796BCA1D92A7} - \PBot2 -> No File <==== ATTENTION
Task: {907295BC-9681-4596-A6F6-0F5E49887487} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {9EF89FB4-DA8B-48D3-80B7-022DD96D7442} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {ACF3B543-8AD0-4401-BFC2-78AD47D52262} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {C1373FE2-CB40-4CF9-9792-57002F757915} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {C3536217-A9CE-4497-9B90-C07B7159B0F8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {E871C17F-EB1B-4593-83E8-9A1582391655} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

Мигает курсор на Windows 10, подозрение на следы от вируса. (заявка № 209136)

Опции темы