Junior Member
Вес репутации
32
Автозагрузки [HackTool.Win32.UAC.r, UDS:DangerousObject.Multi.Generic
]
Уважаемые Хелперы!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) 4a6kin , спасибо за обращение на наш форум! правилах оформления запроса о помощи .поддержите проект .
Здравствуйте,autologger )профиксить
Код:
O2-32 - HKLM\..\BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O4 - User Startup: C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\asodakaossd.lnk -> C:\Windows\system32\cmd.exe /c start C:\Users\max\AppData\Roaming\aiasfacoiaksf.vbs exit
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49} - (no name) - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no name) - (no file)
O21-32 - HKLM\..\ShellExecuteHooks: (no name) - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - (no file) (disabled)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: Groove Explorer Icon Overlay 1 (GFS Unread Stub) - {99FD978C-D287-4F50-827F-B2C658EDA8E7} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: Groove Explorer Icon Overlay 2 (GFS Stub) - {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) - {920E6DB1-9907-4370-B3A0-BAFC03D81399} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: Groove Explorer Icon Overlay 3 (GFS Folder) - {16F3DD56-1AF5-4347-846D-7C10C4192619} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: Groove Explorer Icon Overlay 4 (GFS Unread Mark) - {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} - (no file)
O22 - Task: MSI - C:\Users\max\AppData\Roaming\Microsoft\msi.exe (file missing)
выполнить следующий скрипт .
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\max\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\Program Files (x86)\Juqgehuwuk Cache\local64spl.dll','');
QuarantineFile('C:\Users\max\AppData\Roaming\aiasfacoiaksf.vbs','');
QuarantineFile('C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\asodakaossd.lnk','');
DeleteFile('C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\asodakaossd.lnk','32');
DeleteFile('C:\Users\max\AppData\Roaming\aiasfacoiaksf.vbs','32');
DeleteFile('C:\Program Files (x86)\Juqgehuwuk Cache\local64spl.dll','32');
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
DeleteFile('C:\Users\max\AppData\Roaming\Microsoft\msi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
Все сделал, жду дальнейших указаний.
карантина нет. Убедитесь, чтобы он не был пустым.Farbar Recovery Scan Tool Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" . Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
1. С FRST закончил.
Сообщение от
4a6kin
2. Попробовал еще раз создать карантин. Создает zip файл без содержимого.
Второй раз он может его и не создать, необходим только первоначальный.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\h9kafbc6: C:\Program Files (x86)\Juqgehuwuk Cache\local64spl.dll <==== ATTENTION
Zip: C:\Program Files (x86)\Juqgehuwuk Cache\local64spl.dll;C:\Users\max\AppData\Roaming\grbyetfhwsf.exe;C:\Users\max\AppData\Roaming\grbyetfhwsf.exe;C:\Users\max\AppData\Roaming\gredfhwsf.exe
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\max\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-05-28]
CHR Extension: (Google Кошелек) - C:\Users\max\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-05-31] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION
CHR Extension: (No Name) - C:\Users\max\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-08-28]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\max\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2017-05-07]
Folder: C:\Users\max\AppData\Roaming\xmrigcpuxu
File: C:\Users\max\AppData\Roaming\grbyetfhwsf.exe
2018-05-01 22:12 - 2015-07-25 13:04 - 000000000 ____D C:\Users\наташа.max-ПК\AppData\Roaming\IObit
2018-05-01 22:12 - 2015-06-12 19:21 - 000000000 ____D C:\Users\наташа\AppData\Roaming\IObit
2018-05-01 22:12 - 2015-06-12 19:21 - 000000000 ____D C:\Users\max\AppData\LocalLow\IObit
2018-05-01 22:12 - 2015-06-12 19:21 - 000000000 ____D C:\Users\Default\AppData\Roaming\IObit
2018-05-01 22:12 - 2015-06-12 19:21 - 000000000 ____D C:\Users\Default User\AppData\Roaming\IObit
2018-05-01 22:12 - 2015-06-12 19:20 - 000000000 ____D C:\Users\max\AppData\Roaming\IObit
File: C:\Users\max\AppData\Roaming\BgWorker.dll
File: C:\Users\max\AppData\Roaming\grbyetfhwsf.exe
File: C:\Users\max\AppData\Roaming\gredfhwsf.exe
2014-10-20 20:43 - 2014-10-20 20:43 - 000000001 _____ () C:\Users\max\AppData\Roaming\smw_inst
ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallMenuRight64.dll -> No Files
AlternateDataStreams: C:\Users\max\Local Settings:wa [178]
AlternateDataStreams: C:\Users\max\Desktop\сберкн.jpeg:�3or4kl4x13tuuug3Byamue2s4b [105]
AlternateDataStreams: C:\Users\max\Desktop\сберкн.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\max\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\max\AppData\Local\Application Data:wa [178]
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен . Прислать запрошенный карантин
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
C:\Users\max\AppData\Roaming\grbyetfhwsf.exe
C:\Users\max\AppData\Roaming\gredfhwsf.exe
Zip: C:\Users\max\AppData\Roaming\BgWorker.dll;C:\Users\max\AppData\Roaming\xmrigcpuxu\affadcseodg.exe;C:\Users\max\AppData\Roaming\xmrigcpuxuж\affadwrdfsdfda.exe
C:\Users\max\AppData\Roaming\BgWorker.dll
C:\Users\max\AppData\Roaming\xmrigcpuxu
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен . новый карантин виде архива .zip - загрузите по ссылке "Прислать запрошенный карантин
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
файл превышает размер для отправки. что делать?- - - - -Добавлено - - - - - - - - - -Добавлено - - - - -
Выполните скрипт в uVS:
Код:
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\PROGRAMDATA\IEFJJACGKMBHHLDMAKMFFPAPAKBBFHNK
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
с пометкой ZOO не было файлов вообще. Но был единственный текстовый его и заархировал с паролем virus
Сообщение от
4a6kin
с пометкой ZOO не было файлов вообще. Но был единственный текстовый его и заархировал с паролем virus
Карантина не было в скрипте, поэтому он и не создался.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
Изменений заметных мне нет. Все также на каждое нажатие ссылки в инете выскакивает бан либо на тойже либо в новой странице, в youtube перед началом просмотра каждого видео вирусная реклама (не из ютьюба). На каждой странице присутствует ссылочная мудь типа хочешь не болеть лижи ногти или что то из этого (не та реклама которая бывает). И я не знаю стоит ли это связывать с вирусом, но начало притормаживать видео (остановится на 1-5 сек потом догоняет картинка ускоренно), проверял сеть вроде норм и в моменты лагов не провисает по скорости получение потока.
Последний раз редактировалось 4a6kin; 06.05.2018 в 06:49 .
В каких браузерах воспроизводиться проблема? Пробовали отключить все расширения?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
32
отключил расширения пока проблемы не наблюдаю....хм....позвольте еще денек побродить по просторам и посмотреть....завтра отпишу
и сохраните на Рабочем столе.
Сообщение от 4a6kin
