Не могу предоставить файлы AutoLogger.exe

**Scrittore** · 18.05.2018, 11:06

Идёт запуск, распаковка файлов и далее долю секунды открывается какое-то окно (как я понимаю с этой самой программой) и как бы сворачивается в никуда. Если это поможет, то после заражения у меня такие же дела с командной строкой, но она там повисает в процессах. Я к тому что может и эта программа повисла в процессах, но названия её я не знаю. Есть какие-то способы мне помочь?
P.S. Да и кстати, у меня есть ссылка и файл, который меня заразил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.05.2018, 11:07

Уважаемый(ая) Scrittore, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 18.05.2018, 20:09

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Scrittore** · 19.05.2018, 14:04

Кое-как запустил.

**Vvvyg** · 19.05.2018, 19:42

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
sreg
delref %SystemDrive%\USERS\I\APPDATA\ROAMING\GAMEMACHINE\MINERS\CLAYMORE\GAME_MACHINE_MINER.EXE
del %SystemDrive%\USERS\I\APPDATA\ROAMING\GAMEMACHINE\MINERS\CLAYMORE\GAME_MACHINE_MINER.EXE
zoo %Sys32%\DRIVERS\FCBSQODS.SYS
deltmp
delref %SystemDrive%\USERS\I\APPDATA\LOCAL\PUNKBUSTER\2316250373_123.EXE
delref %SystemDrive%\USERS\I\APPDATA\LOCAL\TEMP\CHROME_BITS_5004_13768\4465_ALL_CRL-SET-2247644485871378941.DATA.CRX3
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\FB836AC8-4C33-1\FB836AC8-4C33-1.D
delref %SystemDrive%\PROGRAMDATA\FB836AC8-4D31-0\FB836AC8-4D31-0.D
delref %SystemRoot%\TEMP\D200485E-BCE7-4ED3-A826-C77974F07D08
delref %Sys32%\DRIVERS\FCBSQODS.SYS
del %Sys32%\DRIVERS\FCBSQODS.SYS
czoo
apply
areg

Запустите файл start.exe из папки с uVS (если программа не запустилась, пробуйте запустить файл Startf.exe), выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Scrittore** · 19.05.2018, 21:25

К сожалению больше не могу запустить ни Universal Virus Sniffer ни Farbar Recovery Scan Tool. Окно сразу же сворачивается. Как до этого запускал сам не знаю. Работает нормально AVZ, но без драйвера AVZPM. Там нельзя это скрипт запустить?

- - - - -Добавлено - - - - -

Значит с божьей помощью карантин загрузил, и файл FRST. Над файлом Addition.txt пока бьюсь, но не факт что получится.
UVS запускал с файла startd.cmd далее "с чистым рабочим столом (под текущим пользователем)", по другому никак не смог.
И ещё добавлю. Когда делал ZOO_ выдало сообщение: "При замене реестра произошла ошибка. Нажмите ОК для перезагрузки."

**Vvvyg** · 20.05.2018, 09:17

Пробуйте сделать в безопасном режиме. AVZPM в AVZ не включайте, в новых системах этот режим не работает.

**Scrittore** · 20.05.2018, 11:41

Вот файлы полученные в безопасном режиме. ZOO_ в карантин грузить не стал, так как делал это вчера и не знаю нужно ли менять.

**Vvvyg** · 20.05.2018, 19:46

Карантин сюда в любом случае цеплять не надо, а вот лог выполнения скрипта - так и не приложили.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Startup: C:\Users\I\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sidebar804.lnk [2017-12-28]
OPR Extension: (Translator) - C:\Users\I\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnbpedcoekjafichoehopgaaldogogch [2017-11-18]
OPR Extension: (РџРµСЂРµРІРµСЃС‚Рё) - C:\Users\I\AppData\Roaming\Opera Software\Opera Stable\Extensions\ibnombjmjocaccigcefonnipcnlaeaed [2017-11-18]
2018-05-17 18:14 - 2018-05-18 10:54 - 000000000 ____D C:\ProgramData\IObit
2018-05-17 18:14 - 2018-05-17 18:15 - 000000000 ____D C:\Users\I\AppData\LocalLow\IObit
2018-05-17 18:14 - 2018-05-17 18:14 - 000000000 ____D C:\Windows\IObit
2018-05-17 18:13 - 2018-05-19 21:01 - 000000000 ____D C:\Users\Р’СЃРµ РїРѕР»СЊР·РѕРІР°С‚РµР»Рё\fb836ac8-4d31-0
2018-05-17 18:13 - 2018-05-19 21:01 - 000000000 ____D C:\Users\Р’СЃРµ РїРѕР»СЊР·РѕРІР°С‚РµР»Рё\fb836ac8-4c33-1
2018-05-17 18:13 - 2018-05-19 21:01 - 000000000 ____D C:\ProgramData\fb836ac8-4d31-0
2018-05-17 18:13 - 2018-05-19 21:01 - 000000000 ____D C:\ProgramData\fb836ac8-4c33-1
2018-05-17 18:13 - 2018-05-18 15:37 - 000000000 ____D C:\Program Files (x86)\Zaxar
2018-05-17 18:13 - 2018-05-18 11:21 - 000000000 ____D C:\Users\I\AppData\Roaming\IObit
2018-05-17 18:13 - 2018-05-18 04:42 - 000000000 ____D C:\Program Files\VPQ4Y8R9F9
2018-05-17 18:13 - 2018-05-18 04:41 - 000000000 ____D C:\Program Files\F7NSVM3DQR
2018-05-17 18:13 - 2018-05-18 04:37 - 000000000 ____D C:\Program Files\5DEM2YIJDZ
2018-05-17 18:13 - 2018-05-17 18:21 - 000000000 ____D C:\Users\I\AppData\Roaming\f4syfib0v30
2018-05-17 18:13 - 2018-05-17 18:21 - 000000000 ____D C:\Users\I\AppData\Roaming\afwmkajyy5q
2018-05-17 18:13 - 2018-05-17 18:13 - 000000000 ____D C:\Users\I\AppData\Local\Hostinstaller
2018-05-17 18:13 - 2018-05-17 18:13 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
1601-01-03 21:33 - 1601-01-03 21:33 - 000058368 ____N (Microsoft Corporation) C:\Program Files (x86)\AaEwyeuySl.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000058368 ____N (Microsoft Corporation) C:\Users\I\AppData\Roaming\AIzMkUU.exe
Task: {07BB11E0-4EE8-4065-900B-9D5E69788A7D} - System32\Tasks\{F064F4BA-FC89-E069-994A-3A03C9A9F190} => C:\Program Files (x86)\AaEwyeuySl.exe [1601-01-03] (Microsoft Corporation) <==== ATTENTION
Task: {17D51DAB-BB65-48F1-A253-67A4987977A0} - System32\Tasks\Driver Booster SkipUAC (I) => C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe
Task: {82746093-9FB6-4027-B7D1-C7E3FC51BA3A} - System32\Tasks\{2C5EE1A5-E25F-A9D3-A794-46A900A8C15F} => C:\Users\I\AppData\Roaming\AIzMkUU.exe [1601-01-03] (Microsoft Corporation) <==== ATTENTION
Shortcut: C:\Users\I\Desktop\порно3.exe.lnk -> C:\Users\I\Downloads\порно3\порно3.exe (No File) <==== Cyrillic
MSCONFIG\Services: sacuiwua => 2
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "2497078"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "AY1P3W8Q3F29DKT"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "4PMIZJU4QNRN5YF"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "E40922LGLPJ54AW"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "UCD3JD0X0YAEGCX"
HKU\S-1-5-21-3188426329-2275300935-806663298-1001\...\StartupApproved\Run: => "9270513"
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZaxarGameBrowser" /f /reg:32
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Autologger в обычном режиме.

**Scrittore** · 20.05.2018, 22:07

Делал в безопасном режиме. + старый лог.
Автологер запустился в обычном режиме.

**Vvvyg** · 21.05.2018, 07:00

Полагаю, порядок. Подтвердите.

**Scrittore** · 21.05.2018, 13:21

Да все симптомы пропали. Спасибо огромное, я уже загрузочный диск приготовил. Так получается антивирусы ничего не могут вылечить, всё вручную надо делать?

**Vvvyg** · 21.05.2018, 21:47

Видимо, драйвер, который блокировал запуск и работу утилит лечения, ещё не был внесён в базы Avast, возможно, он бы справился. Там трудновыводимый драйвер, который загружался на раннем этапе запуска системы, он даже себя в карантин не дал скопировать:

Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS
\\?\C:\USERS\I\DOWNLOADS\SVU\1\ZOO\FCBSQODS.SYS.---
Не удалось скопировать файл [Отказано в доступе. ]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\FCBSQODS.SYS

Если он по этому пути остался (из загрузки его удалили, он неактивен, даже, если есть) - упакуйте его в архив .ZIP с паролем virus и загрузите в карантин.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Scrittore** · 22.05.2018, 13:21

Заражённый файл не остался. А что мы сейчас делаем разве не всё?

**Vvvyg** · 22.05.2018, 21:57

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 28 PPAPI v.28.0.0.161 Внимание! Скачать обновления
Adobe Acrobat Reader DC MUI v.17.012.20098 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 58.0.2 (x64 ru) v.58.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Avast Secure Browser v.65.2.491.181
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 51.0.2830.40 v.51.0.2830.40 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 52.0.2871.64 v.52.0.2871.64 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Обновите продукты adobe и браузеры - и можно закончить.

**CyberHelper** · 22.05.2018, 22:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу предоставить файлы AutoLogger.exe (заявка № 218982)

Опции темы