Странный зловред
Не могу даже лог AVZ сделать т.к. при открытии эксплорером папки сразу виснит (только снимать задачу). В тотал коммандере запускать дает, но утилита зависает намертво. При попытке скачать браузером любую антивирусную утилиту висит на загрузке. Если с флешки запустить, то тоже висит... Выкладываю hijackа лог. все что смог создать. Адвалклинер и мейлваре не запускаются... Сканирование из под лив сиди касперским ремув тулз ничего существенного не нашел...
Последний раз редактировалось BoPoHoK; 17.11.2018 в 21:13.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BoPoHoK, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Пожалуйста соберите логи по правилам из безопасного режима.
Последний раз редактировалось SQ; 18.11.2018 в 01:31.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выкладываю...
Это не по правилам.
WBR,
Vadim
Вот по правилам...Сообщение от Vvvyg
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteFile('C:\Program Files (x86)\ubEEHoOEv.exe', ''); DeleteFile('C:\Users\Вова\AppData\Roaming\yAECUruIYPhaw.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{379C0D07-5DD7-E54F-7F68-CA786F0CCEF7}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8091724E-211B-BF3B-641E-BB0754580B79}" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O4 - HKLM\..\Run: [VIAxHCUtl] = C:\Program Files\VIA XHCI UASP Utility\usb3Monitor (file missing) O22 - Task: AMD Updater - C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe /AUTOUPDATEIN (file missing)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Высылаю отчеты FRST.txt, Addition.txt
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (No Name) - C:\Users\Вова\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-04] 2018-11-12 08:30 - 2018-11-12 08:35 - 000000004 _____ () C:\ProgramData\lock.dat 2018-11-12 08:30 - 2018-11-12 08:35 - 000000004 _____ () C:\Users\Все пользователи\lock.dat 30598-05-30 11:27 - 30598-05-30 11:27 - 000073216 ____N (Microsoft Corporation) C:\Program Files (x86)\ubEEHoOEv.exe Task: {805D6532-83F0-4E53-A84C-99EAC869863D} - no filepath Task: {8541C0DE-FB7C-45D8-8F5F-DDA8C0614FA2} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe FirewallRules: [{4EEB664A-4170-4B96-9998-986B530B8E28}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E820DDEF-A9CD-48CE-A7BF-B0DD9D3BEF0C}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{D03147BA-050F-445A-A866-AA5CB7E786AC}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{7F018491-71DA-4CEE-86A5-3F907E8B68A7}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{6FA655F8-7AF8-4E90-84CB-E26FCEE20582}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A2C670BE-D4CA-4C75-B806-3A1E4A968A50}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{89F7F2F6-3D4C-437A-B0B4-9BBB8CF28EDF}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{3B38D88C-4F2C-4967-86A2-472730FA256F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E5414DCA-62D7-4AF3-81FF-A1D5746218DC}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{2EC3EF9C-B204-4B9E-9951-C0B62F38108E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A50B0A30-C2FC-4517-8635-EA031ECD31ED}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{6EFA88CB-B344-4568-BC52-623905E10AA7}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{D4CEA24B-E853-4FC2-87B4-A1E140215014}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{747C16ED-A363-4537-BB7F-A495B5512214}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A5F86C00-31D2-430E-879C-8099CFA86D27}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{D08A00FC-6F91-4152-904F-6757C5C21CFD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{EE36BE43-7379-4255-A096-CC70145F6D2A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{CE28CA3C-54B5-4C0E-886D-86EAE317AF56}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A6296537-2661-487E-85CF-7EC4B7D30BBD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A266CC8D-B84C-4F6A-8164-FB601D003BE7}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DEAB71AF-DD4B-45DF-B7CC-0ACEA394F6CD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{26B6E77D-9AA1-440F-8808-4137F365AA79}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{94FFB21C-6060-4E39-829D-E99A7EE60AC2}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{09E5A47C-81CF-4B19-B66A-72C431E1CA8E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{997AC026-724D-47EB-AD40-6149638D7865}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{F178F742-6A05-4F76-BE1C-77BC950A3CC6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E48849E0-50DF-43DC-966B-98BCA915DC06}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{9BC7C717-DFD5-4DD3-8E92-B7C885D00DD6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{79B39D6C-932C-4483-AD5B-E560E928F988}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A10ADA56-23D8-4524-BD49-6F6092602148}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A59B52CA-1A36-4F36-902E-A64D7BF9C3B6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{D0085BC4-ACD0-41EE-B77D-270200A0F023}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{EBAFD4CE-567F-45C1-9908-7C785744BDED}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{0F88B6C6-D363-4D9E-A17E-9291226273E8}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{FB57B47B-508E-44D3-8F4F-E5772D5636E3}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{07F3A65E-B3DB-480D-9256-6D23C429F8AD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{983CCB44-1554-4B50-B499-BB8D850A1C6B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{C5D18E41-A992-485A-90DC-472EED5C383E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E0A41529-0B03-4167-9731-06AA505E94EB}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A3C72A28-885F-4B41-A7FE-522A93141989}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E6B0DC60-98FA-43EC-816F-A7476FE55D13}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E0DAC159-0A26-4B32-8642-0FA8CAEEEE2D}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{B847A05A-F258-4D1B-9127-56FD728F8238}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{7F78B842-90C5-4F21-8EFB-DF8C64B6277C}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{FE621C43-D422-4702-98C6-2CF34C79D17B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E3645064-8F4F-49E0-B75D-7708E115A99C}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DED88C2D-8982-4AC5-BE1C-EC90E664AF7B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{93FC2A57-69D2-44C0-82D0-F16542DADD6B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{1CF55811-DC2D-4B5D-931D-C4F6BF46599B}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{731A9A13-84AB-4E50-9615-5FC4A6C0917E}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{A93B20FA-F939-4877-911F-D7EFBDD82914}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{0AAF5BC7-61A0-4169-A0CC-597C71F4FBBA}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{EDEE3E0C-3C47-4AAE-8BD4-0B9621B0D881}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{45CAC04E-742A-4BDC-B9D2-2C44A89376F0}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{43080BBE-7ACA-4CCC-BB39-29D1F944303D}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{FC1758C0-A34D-455D-B48D-EB8E57B39C54}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{B2D576A3-A81F-4D46-976A-551ADE31FDDC}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{E024EF0E-B780-4F89-8AA2-C658D8E2584D}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{80469C84-61BA-4F0D-80A5-E15E192F86CC}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{2757DC3E-1439-47BB-B817-E8CE8200C2FD}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{B74EDAAC-214B-4E65-A9C6-6A2085BC2164}] => (Allow) C:\Windows\SysWOW64\svchost.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Cообщите, что с проблемами.
WBR,
Vadim
Уже даже до выполнения последнего скрипта вредоносная программа перестала себя проявлять. Спасибо огромное!!!
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Уважаемый(ая) BoPoHoK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
