Junior Member
Вес репутации
25
Открываются вкладки с рекламой в chrome и internet explorer, блокирует запуск программ [Trojan-Clicker.MSIL.DOTHETUK.bs, not-a-virus:AdWare.Win32.Esprot.aln
]
Доброго времени суток! вчера вечером поймал вирус, при попытке скачать файлы. установились какие-то программы, фейковый антивирус. Открываются вкладки с рекламой в chrome и internet explorer, блокируется запуск программ malware (через командную строку отрываются) Несколько раз прогонял через ADWCleaner, но безрезультатно. Планировщик задач чистил. Прошу вашей помощи.
Логи прилагаю. Заранее благодарен.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) беспроводнаямышь1 , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\wsaudio.dll','');
QuarantineFile('C:\ProgramData\Subair\Ranflex.dll','');
QuarantineFile('c:\program files (x86)\hotspot shield\bin\cmw_srv.exe','');
TerminateProcessByName('c:\users\administrator\appdata\roaming\ncalayer\ncalayer.exe');
TerminateProcessByName('C:\Program Files\Rockstar Games\YWZGNPBBMD\HTHNBQOGBY.exe');
TerminateProcessByName('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe');
QuarantineFile('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe','');
QuarantineFile('c:\users\administrator\appdata\roaming\ncalayer\ncalayer.exe','');
QuarantineFile('C:\Program Files\Rockstar Games\YWZGNPBBMD\HTHNBQOGBY.exe','');
DeleteFile('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HTHNBQOGBY.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QWVAVJTOKV.exe');
DeleteFile('C:\ProgramData\Subair\Ranflex.dll','32');
DeleteFile('C:\Windows\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
25
Прикрепляю логи.
Прикрепляю логи. Проблемы ушли, очень благодарен! Процветания вам! Всего самого наилучшего!
Вложения
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD , Driver MD5 и 90 Days Files .
3. Нажмите кнопку Scan .
4. После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt ).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив ) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
25
Прикрепил отчеты Farbar Recovery Scan Tool
Прикрепил отчеты Farbar Recovery Scan Tool
Вложения
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Subair\Viaex.dll => No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKU\S-1-5-21-873653830-2986199714-2032971420-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeONKxZEkURRKzNook5peTPuCFZN3mvrrnHBm4Hp7nYo3h7KbNAzb5gju1ruwP33K_ugB2N7iaQX17FX3PpoBeD3SBcNivabjha5sVMrfq_HqPug9EyU_PUeTiVxl0YEe9ZwCf3gFCxXBi-YYZaTAx-deVxnnw,&q={searchTerms}
HKU\S-1-5-21-873653830-2986199714-2032971420-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeONKxZEkURRKzNook5peTPuCFZN3mvrrnHBm4Hp7nYo3h7KbNAzb5gju1ruwP33K_ujNQRSjdGBN8sukfH2-3hQynfAztnHwdlGaV6rAonqY6LAf3zLzOqgf6UA8HFYBup68ffoDtzzs0AwWH5l-f8NoNmMyM,
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
S2 ihctrl32; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2017-09-14 00:57 - 2017-09-15 07:27 - 000000000 ____D C:\Users\administrator\AppData\LocalLow\HGQlVNXRXkVsT
2017-09-14 00:57 - 2017-09-14 00:57 - 007327744 _____ C:\Users\administrator\AppData\Local\agent.dat
2017-09-14 00:57 - 2017-09-14 00:57 - 001899389 _____ C:\Users\administrator\AppData\Local\Plusfix.tst
2017-09-14 00:57 - 2017-09-14 00:57 - 001895382 _____ C:\Users\administrator\AppData\Local\Indigotough.bin
2017-09-14 00:57 - 2017-09-14 00:57 - 000126464 _____ C:\Users\administrator\AppData\Local\noah.dat
2017-09-14 00:57 - 2017-09-14 00:57 - 000070800 _____ C:\Users\administrator\AppData\Local\Config.xml
2017-09-14 00:57 - 2017-09-14 00:57 - 000005568 _____ C:\Users\administrator\AppData\Local\md.xml
2017-09-13 23:43 - 2017-09-13 23:43 - 000278508 _____ C:\Users\administrator\AppData\Local\Dansansing.bin
2017-09-13 23:42 - 2017-09-14 00:50 - 000000000 ____D C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406
2017-09-13 23:42 - 2017-09-14 00:00 - 000000000 ____D C:\Users\administrator\AppData\Roaming\259debed1d49441bbdeee0ae31172609
2017-09-13 23:42 - 2017-09-13 23:42 - 000140800 _____ C:\Users\administrator\AppData\Local\installer.dat
2017-09-13 23:42 - 2017-09-13 23:42 - 000000000 ____D C:\Users\administrator\AppData\Local\8ac066d1127a40a4a36e1506134b0b1a
2017-09-13 23:41 - 2017-09-15 07:05 - 000000000 ____D C:\Users\administrator\AppData\Roaming\0e5cdecfeb854eeab85f4d278f25cbff
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
25
прикрепляю fixlog.txt
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\program files\rockstar games\ywzgnpbbmd\hthnbqogby.exe - Trojan-Clicker.MSIL.DOTHETUK.bs c:\users\administrator\appdata\roaming\8c26276309a 3443ea1f6a84627e08406\qwvavjtokv.exe - Trojan-Clicker.MSIL.DOTHETUK.bs c:\windows\system32\wsaudio.dll - not-a-virus:AdWare.Win32.Esprot.aln