Я пытался загрузить на rghost но там ограничение 100мб, буду искать файлообменник без рекламы, извините.
PS: Загрузил на яндекс диск https://yadi.sk/d/DW_SDMJur9iy6
Последний раз редактировалось Zuluries; 20.04.2016 в 16:44.
например: Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile
- - - - -Добавлено - - - - -
+
давайте тогда по другому попробуем
- Пожалуйста, запустите утилиту MiniRegTool64
- Скопируйте и вставьте следующий текст в поле ввода:
Код:{20572391-63A0-4B2C-AA42-33B827F497C4}- Отметьте опцию Search.
- Отметьте галочками все разделы (HKLM, HKU).
- нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
Сделал, прикрепил Result. ещё по пути C:\Program Files (x86)\Common Files после перезагрузки создается папка как раз с названием такого вида: {20572391-63A0-4B2C-AA42-33B827F497C4} Содержимое выглядит так Скриншот.jpg
после удаления и перезагрузки появляется вновь, но уже с другим именем.
1) Поищите у себя файл с именем 4D9769B6-2133-4E99-B026-FDE35193EF29.exe если найдёте, то
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
2) Отключите по возможности все программмы из автозапуска. И после этого сделайте свежий лог Process Monitor-а.
3) Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.
Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.
- - - - -Добавлено - - - - -
+ - выполните такой скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.Код:begin ClearQuarantineEx(true); QuarantineFile('C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE', ''); QuarantineFileF(''C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Последний раз редактировалось regist; 20.04.2016 в 22:34.
1 – Файла с таким именем в системе не найдено.
2 – Отключил из автозапуска вообще все что было, сделал лог Process Monitor-а сразу после того как вирус выполнил свои действия (лог теперь намного меньше) https://yadi.sk/d/6thP20uWrAoLk
3 – В безопасном режиме проблема не наблюдается.
Через msconfig отключил все службы (кроме Microsoft), также отключил абсолютно все из автозагрузки. Почистил adwcleaner-ом, перезагрузился – проблема повторяется.
PS: Выполнил скрипт в AVZ, карантин загрузил.
Запустите AVZ, нажмите Сервис, Поиск данных в реестре, введите:
Нажмите кнопку Пуск. По завершению поиска, нажмите правой кнопкой мыши по любому из найденных пунктов и выберите "Выделить все".Код:46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE
Затем кнопку "Сохранить reg файл с отмеченными ключами".
Этот файл приложите к своему сообщению.
- - - - -Добавлено - - - - -
+ посмотрите в папках
что находится кроме этого одного файла?Код:C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\ C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\
- - - - -Добавлено - - - - -
+ пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options - Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите тут.
Последний раз редактировалось regist; 21.04.2016 в 12:40.
Похоже AVZ ничего не нашел (прикрепил файл)
Посмотрел, кроме этого файла 46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.exe больше ничего нет.
да, не нашёл.
Я там в предыдущем посте про Авторанс дописал тоже пожалуйста, сделайте. Интересно понять откуда запускается эта зараза. Подозреваю, что через планировщик задач и странно почему никто её не видит.
+ ещё такой лог сделайте сделайте лог HiJackThis 2.0.6 Alfa 1.12. Может хоть он увидит.
А пока послал файл из карантина в вирлабы.
Прикрепил логи
Выполните скрипт в uVS и пришлите карантин
Сделайте свежий образ автозапуска.Код:;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c BREG bl 394BDD4BCA1A5A566E9C8632970D963E 944622 deldir %SystemDrive%\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52 zoo %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE bl 33A6663E3ECBAADAB5BD3A86E9D74E00 460301 dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{09147687-C761-4829-BD27-5C1ECD669193} dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{4EE87012-CB51-407D-B8CD-4A2A05979C14} dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{E352E648-6AAD-487C-BF9D-BB2E7F814390} dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{F5B65328-4C03-4A07-9AB3-1DE338149B32} delall %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{09147687-C761-4829-BD27-5C1ECD669193} delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{4EE87012-CB51-407D-B8CD-4A2A05979C14} delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{E352E648-6AAD-487C-BF9D-BB2E7F814390} delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{F5B65328-4C03-4A07-9AB3-1DE338149B32} czoo restart
Проверьте проблему.
И просьба даже если проблема больше не будет проявляться, тему пока не бросать.
Здравствуйте, Zuluries !
Спасибо за терпение. По логам HiJackThis похоже у Вас 3 задания в новом формате. Давайте попробуем снять с них резервную копию вручную.
1. Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.
- Запустите утилиту
- Скопируйте и вставьте следующий текст в поле ввода:
Код:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule- Отметьте опцию Export keys.
- нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
2. По очереди скопируйте на рабочий стол и запакуйте в разные архивы с паролем virus папки:
Архивы загрузите по ссылке Прислать запрошенный карантин вверху темы.c:\Windows\Tasks
c:\Windows\System32\Tasks
c:\Windows\SysWOW64\Tasks
HiJackThis developer team, CMD/VBS expert
Выполнил скрипт, после перезагрузки проблема пропала!
Загрузил карантин, сделал новый образ автозапуска http://rghost.ru/6ZhMn9z9W
Стоит вернуть все в исходное состояние (включить все отключенные ранее службы, автозагрузку) и проверить как будет работать?
Сделал Result.txt http://rghost.ru/private/8STQnzLbx/a...7a59ec2f1ac50c , папки Tasks загрузил.
Протестирую как будет работать, позже сообщу о результатах.
MBAM деисталируйте.
Последний раз редактировалось regist; 21.04.2016 в 17:39.
MBAM удалил, перезагрузился, пока все тихо. Включил все службы, автозагрузку, проверил AdwCleaner-ом, говорит все чисто. Подожду как будет дальше, буду отписываться в теме.
Новый образ автозапуска: http://rghost.ru/82MJJ9tLc
Последний раз редактировалось Zuluries; 21.04.2016 в 17:30.
- Запустите MiniRegTool64
- Скопируйте и вставьте следующий текст в поле ввода:
Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{670A0454-F12A-4F6D-84A0-D17DFBB5E8D8}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\AA275EE6D-62D9-4CB7-9D8A-911D20E98F52] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{670A0454-F12A-4F6D-84A0-D17DFBB5E8D8}]- Отметьте опцию Delete Keys/Values including Locked/Null embedded.
- нажмите кнопку Go.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Если, будет что ещё дополним в теме.
Последний раз редактировалось regist; 21.04.2016 в 18:36.
Прикрепил Result.txt, думаю можно подвести итог что компьютер вылечен, интересно где же скрывалась эта нечисть?
PS:Что-бы не флудить поблагодарил вас в соответствующей теме.
Zuluries, извиняюсь, скопировал и не сразу поправил в своём сообщение. Там надо было не экспорт сделать а удалить
и после этого ещё подтвердить удаление нажатием кнопки ОК.
Через планировщик запускался 46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE а уже из него извлекалась/докачивалась вся остальная гадость.
Антивирусы пока на этот файл не реагируют.
Тему не закрываю, может будут ещё просьбы к вам, что-то перепроверить или сделать дополнительно какой-то лог.
Уважаемый(ая) Zuluries, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.