Junior Member (OID)
Вес репутации
32
Самопроизвольно устанавливаются и запускаются приложения
После загрузки из интернета программы по одной из ссылок
[удалено]
либо
[удалено]
стали регулярно самопроизвольно устанавливаться Crossbrowser, Opera. Сетевой экран dr.web регулярно блокирует адреса в фоновом режиме. Запускаются неизвестные приложения в командной строке. Регулярно появляется окно "Прекращение работы Opera Installer".
Вложения
Последний раз редактировалось thyrex; 15.08.2015 в 23:06 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Andrey _ , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\A4F7~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
SetServiceStart('jobepice', 4);
DeleteService('jobepice');
TerminateProcessByName('c:\program files\4b435451-1439300592-3032-4532-10bf486d3f6e\knsf5ba2.tmp');
QuarantineFile('c:\program files\4b435451-1439300592-3032-4532-10bf486d3f6e\knsf5ba2.tmp','');
TerminateProcessByName('c:\users\Андрей\appdata\local\temp\ap2.exe');
QuarantineFile('c:\users\Андрей\appdata\local\temp\ap2.exe','');
DeleteFile('c:\users\Андрей\appdata\local\temp\ap2.exe','32');
DeleteFile('c:\program files\4b435451-1439300592-3032-4532-10bf486d3f6e\knsf5ba2.tmp','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ap2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ap2','command');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
DeleteFile('C:\Users\A4F7~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\SaveSense.job','32');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
DeleteFile('C:\Windows\system32\Tasks\SaveSense','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Сделайте лог CheckBrowsers' Lnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Вложения
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG . Прикрепите этот отчет к своему следующему сообщению.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Вложения
Удалите в МВАМ все, кроме
Код:
Файлы: 326
RiskWare.Tool.CK, D:\Games\EasyAccount.exe, , [c6bbd534d5b642f406c8da3051b16c94],
PUP.RiskWareTool.CK, D:\Games\Call of Duty 4 - Modern Warfare\rzr-cod4.exe, , [4f320dfc0883a39399495d6cf50c10f0],
Password.Stealer.H, D:\Games\Counter Strike Source\Change_Name-Clan.exe, , [9ae757b20b80989ee7093a2b56af42be],
Trojan.Dynamer, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Keygen_for_sound_forge6.0.exe, , [bac7c7421576e05622e929ac2dd722de],
Trojan.Agent.CK, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Sonic.Foundry.MainConcept.MPEG.1&2.Plugin.v1.0.keymaker.zip, , [8001dd2c84073ff721a667f630d54db3],
Trojan.Agent.CK, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Sonic.Foundry.MP3.Plugin.v2.0.Keymaker.zip, , [0f7255b42e5d8da956716fee11f4f30d],
RiskWare.Tool.CK, D:\Программы\Everest\keygen.exe, , [d6ab97727c0fe650912449c12dd5be42],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Сообщение от
thyrex
Удалите в МВАМ все,
кроме
Код:
Файлы: 326
RiskWare.Tool.CK, D:\Games\EasyAccount.exe, , [c6bbd534d5b642f406c8da3051b16c94],
PUP.RiskWareTool.CK, D:\Games\Call of Duty 4 - Modern Warfare\rzr-cod4.exe, , [4f320dfc0883a39399495d6cf50c10f0],
Password.Stealer.H, D:\Games\Counter Strike Source\Change_Name-Clan.exe, , [9ae757b20b80989ee7093a2b56af42be],
Trojan.Dynamer, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Keygen_for_sound_forge6.0.exe, , [bac7c7421576e05622e929ac2dd722de],
Trojan.Agent.CK, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Sonic.Foundry.MainConcept.MPEG.1&2.Plugin.v1.0.keymaker.zip, , [8001dd2c84073ff721a667f630d54db3],
Trojan.Agent.CK, D:\Программы\SoundForge 6.0\Crack_soundforge6.0\Sonic.Foundry.MP3.Plugin.v2.0.Keymaker.zip, , [0f7255b42e5d8da956716fee11f4f30d],
RiskWare.Tool.CK, D:\Программы\Everest\keygen.exe, , [d6ab97727c0fe650912449c12dd5be42],
Как это сделать, если у меня от результатов проверки в MBAM осталась только запись в журнале? Вручную?
Запустить повторное сканирование и дождаться его окончания
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Вложения
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
2015-08-15 18:52 - 2015-08-16 07:33 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\ppslog
2015-08-15 17:56 - 2015-08-15 19:08 - 00000000 ____D C:\IQIYI Video
2015-08-15 17:56 - 2015-08-15 17:56 - 00000000 ____D C:\Users\Public\QiYi
2015-08-15 17:32 - 2015-08-15 19:00 - 00000000 ____D C:\Program Files\baidu
2015-08-11 22:59 - 2015-08-15 15:21 - 00000000 ____D C:\Users\Андрей\AppData\Local\476
2015-08-11 20:54 - 2015-08-15 15:21 - 00000000 ____D C:\Users\Андрей\AppData\Local\8772
2015-08-11 20:54 - 2015-08-12 18:49 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\cpuminer
2015-08-11 20:53 - 2015-08-15 15:21 - 00000000 ____D C:\Users\Андрей\AppData\Local\250A1225-C738-4167-87AE-C3E022B149AE
2015-08-11 20:43 - 2015-08-16 17:10 - 00000000 ____D C:\Program Files\4B435451-1439300592-3032-4532-10BF486D3F6E
2015-08-11 20:42 - 2015-08-11 21:03 - 00000000 ____D C:\Users\Андрей\AppData\Local\Amigo
2015-08-11 20:41 - 2015-08-11 20:42 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\Browsers
C:\Users\Андрей\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Андрей\AppData\Local\Temp\gamesdesktop.exe
C:\Users\Андрей\AppData\Local\Temp\[email protected]
C:\Users\Андрей\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Андрей\AppData\Local\Temp\PIPInstaller_PTV_.exe
C:\Users\Андрей\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Андрей\AppData\Local\Temp\qqpcmgr_v10.11.16588.235_72603_Silence.exe
CustomCLSID: HKU\S-1-5-21-2607363540-970144317-3770668378-1000_Classes\CLSID\{61CED8F3-2CB2-4C3C-9484-7530E1127A58}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-2607363540-970144317-3770668378-1000_Classes\CLSID\{D96C1D26-5CDF-4506-9244-57233C3984DF}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-2607363540-970144317-3770668378-1000_Classes\CLSID\{F3D0D36F-23F8-4682-A195-74C92B03D4AF-NOT}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
Task: {0A09BB34-4681-4711-A7B8-C39D70E5586C} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe <==== ATTENTION
C:\Program Files\ExpressFiles
Task: {1157468D-DB94-49D6-9B0A-9C566B5CFDA8} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> No File <==== ATTENTION
Task: {84ADA2A9-E04D-4C9E-80BF-D8E42C61F0D2} - \WordSurfer Auto Updater 1.10.0.19 Core -> No File <==== ATTENTION
Task: {B3167544-8D41-4D00-9576-72DB6287B4C8} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
FirewallRules: [{D4916D7F-0C99-43C5-8CFC-0E1BAD8DD28C}] => (Allow) C:\Users\Андрей\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{43AD3ACE-5A5B-477B-9DB9-DD024C134BA4}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{296DDBEB-F1FB-4775-94EE-3B170CA4D544}] => (Allow) C:\Users\Андрей\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{18EC46F6-8832-4B5E-959C-5AC6737972B1}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{BBD52139-7861-4200-845C-95345423E3B7}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{94BE83CF-ED09-4764-8FDB-E230FBB4FB72}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{4D6D500B-85C9-4E3E-9476-5FF4A167771C}] => (Allow) C:\Users\Андрей\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{4CA786C7-6D3E-4F12-8AC5-3454DC04781A}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{C081FB8E-5EE4-4ADA-AA4B-9AEDC7ABB5BA}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{31BAC358-8066-44AA-864C-AD642A615126}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{D68DDBA9-F32F-4F4E-B137-598B41FAAC86}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
32
Ни одна из проблем пока больше не проявлялась. Значит вылечился?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 16 В ходе лечения вредоносные программы в карантинах не обнаружены