Здравствуйте. Подхватил один или несколько вирусов. Из видимых проблем - засорение компьютера всевозможными сервисами Mail.ru, один раз выскочил баннер на весь экран. Проверял компьютер антивирусом Dr.Web и CureIT. Угрозы не обнаруживаются, но Dr.Web в интерактивном режиме постоянно блокирует разные угрозы, из наиболее частых - различные версии Troyan.LoadMoney. Помогите пожалуйста разобраться с данной проблемой.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DeeL, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\alex\appdata\local\temp\croz0mom9oox.exe'); TerminateProcessByName('c:\users\alex\appdata\local\temp\eae3t0bzber6.exe'); StopService('4F959DF46CC9C299'); StopService('4F975A24006F5619'); QuarantineFile('C:\Users\Alex\Desktop\Вoйти в Интeрнет.lnk', ''); QuarantineFile('C:\Users\Alex\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('c:\users\alex\appdata\local\temp\croz0mom9oox.exe', ''); QuarantineFile('c:\users\alex\appdata\local\temp\eae3t0bzber6.exe', ''); QuarantineFile('C:\Windows\TEMP\344E9F8.sys', ''); QuarantineFile('C:\Windows\TEMP\2F6E51A.sys', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\iFunbox_UserCache\Caches\mdm', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\msi.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "MdmUpdateTaskMachineCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFile('c:\users\alex\appdata\local\temp\croz0mom9oox.exe', '32'); DeleteFile('c:\users\alex\appdata\local\temp\eae3t0bzber6.exe', '32'); DeleteFile('C:\Windows\TEMP\344E9F8.sys', '32'); DeleteFile('C:\Windows\TEMP\2F6E51A.sys', '32'); DeleteFile('C:\Users\Alex\AppData\Roaming\iFunbox_UserCache\Caches\mdm', '32'); DeleteFile('C:\Users\Alex\AppData\Roaming\Microsoft\msi.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pdtwrvsshb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','papmqvueyc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','vkxdoczgpi'); DeleteService('4F959DF46CC9C299'); DeleteService('4F975A24006F5619'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Сделайте повторные логи по правилам. (CollectionLog)
Подготовьте и прикрепите лог сканирования AdwCleaner.
После выполнения скрипта пока вроде больше проблем не наблюдалось. AdwCleaner вывел список файлов, которые предлагает почистить, надо ли это сделать?
Последний раз редактировалось DeeL; 05.07.2017 в 22:47.
Да:
1.
- Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
- Нажмите кнопку "Scan" ("Сканировать").
- По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Прокси
- Политики IE
- Политики Chrome
и нажмите Ok.- Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Во время работы Farbar Recovery антивирус обнаружил угрозу:
Вложение 662611
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9c74cc4b-fb05-4fd9-a4c1-6d20db61ad0a} <==== ATTENTION (Restriction - IP) FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B767F8A5D-35D8-40A4-A973-527A2A212BAB%7D&gp=811014 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-07-04] FF Extension: (Поиск@Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-07-04] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-07-04] CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BCF61D065-E42F-4F94-83D1-BF11AFDCEC2F%7D&gp=811010 CHR DefaultSearchKeyword: Default -> mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} OPR Extension: (No Name) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-04] 2017-07-04 15:12 - 2017-07-04 15:12 - 00000000 ____D C:\Users\Alex\AppData\Local\Войны престолов 2017-07-04 14:43 - 2017-07-04 15:06 - 00003402 __RSH C:\Windows\System32\Tasks\MSI Task: {E1306760-1F7A-4748-851D-A1240AE1ECF8} - System32\Tasks\MSI => C:\Users\Alex\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите что с проблемой.
Проблема пока что больше не появлялась. После последней процедуры пропали все данные из браузера Chrome, которым я пользуюсь, то есть исчезли ранее открытые вкладки и данные сайтов, я так понимаю это нормально?
Да, была глубокая очистка кэша, куков и темпов.
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню File (Файл) - выберите Uninstall (Деинсталлировать).
- Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.
2.
Перед этим:
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера.
К сожалению антивирус опять среагировал на угрозу
Вложение 662644
Сделайте повторные логи по правилам. (CollectionLog)
Сделал.
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Словил недавно синий экран. После установки Malwarebytes антивирус выдал следующее предупреждение, "хром" при этом повис.
Вложение 662650
Сообщение от DeeL
На время работы лечащих утилит антивирус следует отключать.
Удалите в MBAM найденные угрозы. Затем сделайте полный образ автозапуска uVS, только программу скачайте отсюда
Как быть с этим?
Вложение 662781
Также периодически вылетает эта угроза
Вложение 662784
Один раз вылетело это
Вложение 662794
Последний раз редактировалось DeeL; 11.07.2017 в 02:20.
Предыдущие логи можете удалить.
Где найти эту функцию?
Сделал.
Уважаемый(ая) DeeL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
