Junior Member
Вес репутации
20
Поймал вирус от KMS
Доброго времени, последний раз ловил вирус лет 5 назад и вот опять((
Закончился период активации Винды, скачал КМС активатор вроде как с проверенного источника, запустил установку и всё - половина рабочего стола завалило каким-то гадским софтом, Хром про поиске в гугле переадресовывает на майл.ру(гореть ему в аду), а некоторые сайты сами переходят на какие-то левые.
Стандартный защитник Винды всё находит и удаляет, но после перезагрузки всё начинается заново.
Заранее спасибо за помощь!
CollectionLog-2019.01.09-15.25.zip
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DosDmitry , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Удалите программу TablacusApp.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора) )и пофиксите только эти строки :
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvux2G6nSRX_0Ltth2f9jwPOF6sduqtFM8DHnVcDF8dV8YJGHWwKMxYlp-iZ20ytvJMwPg_KfOeUF5jgSxmekzHF-k03A,,
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms} - Search the web
O4 - HKCU\..\Run: [YoutubeDownloader] = C:\Users\DOS\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
O4 - HKCU\..\Run: [YoutubeDownloader_upd] = C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: YoutubeDownloader - C:\Users\DOS\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
O22 - Task: YoutubeDownloader_upd - C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
O22 - Task: \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task
O22 - Task: {BF0ED9B0-4D91-BCF4-D242-0676D1281A75} - C:\Program Files (x86)\yYObpsy.exe -package https://refreshnerer711rb.info/S3jWd9UC107.jOZ /q
O22 - Task: {BF8B2936-1723-A746-7C67-CD9B0C299398} - C:\Program Files (x86)\FiWV.exe /q -package https://refreshnerer711.info/oD00nrQK70j3.3eG
Сделайте лог Malwarebytes AdwCleaner .
Junior Member
Вес репутации
20
Большое спасибо за ответ, всё сделал, лог во вложении.
- - - - -Добавлено - - - - -
И ещё днём делал полное сканирование. Вот результаты. Соответственно все угрозы появились сегодня((
Сканирование.png
Вложения
Удалите всё найденное в AdwCleaner , кроме строк, относящихся к Ace Stream Media (.acestream, .acemedia и т. п. - если нужна эта программа) , дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Junior Member
Вес репутации
20
Всё сделано, отчёт и архив во вложении.
Спасибо!
AdwCleaner[C01].txt
Virusinfo.rar
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKU\S-1-5-21-444263185-3391885796-2127729054-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
FF HKU\S-1-5-21-444263185-3391885796-2127729054-1001\...\Firefox\Extensions: [[email protected] ] - C:\Users\DOS\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin HKU\S-1-5-21-444263185-3391885796-2127729054-1001: @acestream.net/acestreamplugin,version=3.1.32 -> C:\Users\DOS\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzfcXXZ_XmknCESxaQTWUKuQr2gaxo_JwqjjNN8W1R9Y790yq5KNJ2qKSs-BwFhOK91TtJ_Yb-3T45xOtQ3frtbjV-kcdrpZXI59z1HYkzkkGxKBfwfke-oYYAk_MzYaULZLZYnyitPfwKOPpTy-K-ALfpDbR98,
CHR Profile: C:\Users\DOS\AppData\Local\Google\Chrome\User Data\System Profile [2019-01-09]
CHR HKU\S-1-5-21-444263185-3391885796-2127729054-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
Virustotal: Openamis.exe
2019-01-09 13:53 - 2019-01-09 13:53 - 000000000 ____D C:\Users\DOS\AppData\Local\cache
2019-01-09 13:51 - 2019-01-09 13:51 - 000000000 ____D C:\Users\DOS\AppData\Roaming\Mozilla
2019-01-09 13:50 - 2019-01-09 14:05 - 000000000 ____D C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd
2019-01-09 13:50 - 2019-01-09 14:05 - 000000000 ____D C:\Users\DOS\AppData\Roaming\YoutubeDownloader
2019-01-09 13:50 - 2019-01-09 13:56 - 000000000 ____D C:\Users\DOS\AppData\Local\WhiteClick LLC
2019-01-09 13:50 - 2019-01-09 13:54 - 000722944 _____ C:\Users\DOS\AppData\Local\sham.db
2019-01-09 13:50 - 2019-01-09 13:53 - 000000000 ____D C:\Program Files (x86)\Parent Protection
2019-01-09 13:50 - 2019-01-09 13:50 - 007858688 _____ C:\Users\DOS\AppData\Local\agent.dat
2019-01-09 13:50 - 2019-01-09 13:50 - 002036399 _____ C:\Users\DOS\AppData\Local\Openamis.tst
2019-01-09 13:50 - 2019-01-09 13:50 - 001997312 _____ (TODO: <Company name>) C:\Users\DOS\AppData\Local\Openamis.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 000140800 _____ C:\Users\DOS\AppData\Local\installer.dat
2019-01-09 13:50 - 2019-01-09 13:50 - 000126464 _____ C:\Users\DOS\AppData\Local\noah.dat
2019-01-09 13:50 - 2019-01-09 13:50 - 000070896 _____ C:\Users\DOS\AppData\Local\Config.xml
2019-01-09 13:50 - 2019-01-09 13:50 - 000005568 _____ C:\Users\DOS\AppData\Local\md.xml
2019-01-09 13:50 - 2019-01-09 13:50 - 000002668 __RSH C:\Users\Все пользователи\ntuser.pol
2019-01-09 13:50 - 2019-01-09 13:50 - 000002668 __RSH C:\ProgramData\ntuser.pol
2019-01-09 13:50 - 2019-01-09 13:50 - 000000004 _____ C:\Users\Все пользователи\ext.dat
2019-01-09 13:50 - 2019-01-09 13:50 - 000000004 _____ C:\ProgramData\ext.dat
2019-01-09 13:50 - 2019-01-09 13:50 - 000000003 _____ C:\Users\DOS\AppData\Local\wbem.ini
2019-01-09 13:50 - 2019-01-09 13:50 - 000000000 ____D C:\Program Files (x86)\foldershare
1601-01-03 21:26 - 1601-01-03 21:26 - 000060416 _____ (Microsoft Corporation) C:\Program Files (x86)\FiWV.exe
1601-01-03 21:26 - 1601-01-03 21:26 - 000060416 _____ (Microsoft Corporation) C:\Program Files (x86)\yYObpsy.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 013205167 _____ (MAL ) C:\Users\DOS\AppData\Local\Temp\51qtrmygexq.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 007870448 _____ () C:\Users\DOS\AppData\Local\Temp\ic_installer.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 001596216 _____ (sbvzil) C:\Users\DOS\AppData\Local\Temp\installer_campaign_19354.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 001997312 _____ (TODO: <Company name>) C:\Users\DOS\AppData\Local\Temp\setup.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 001197006 _____ ( ) C:\Users\DOS\AppData\Local\Temp\speedycar.exe
2019-01-09 13:50 - 2019-01-09 13:50 - 000944976 _____ ( ) C:\Users\DOS\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe
FirewallRules: [{B7164D5A-0DBE-4AF0-956B-CDA75B57A2E3}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe No File
FirewallRules: [{7CE78149-70E4-4179-ABE4-D90D517F21EC}] => (Allow) C:\Users\DOS\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{6108E1D3-8CFE-478B-A6C4-1A696161282D}] => (Allow) C:\Users\DOS\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{B1E212B9-ACF1-43C5-978C-CA96DDE1DCB1}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe (Microsoft Corporation)
FirewallRules: [{804DA7BE-3FE7-4673-BCE3-B5F2FF41B48C}] => (Allow) C:\Program Files (x86)\yYObpsy.exe (Microsoft Corporation)
FirewallRules: [{154C7F9B-B510-4DD4-BA73-DBD598DC393D}] => (Allow) C:\Program Files (x86)\FiWV.exe (Microsoft Corporation)
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод !
Отключите до перезагрузки антивирус, закройте все браузеры ,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кеш и cookie в Хроме и сообщите, что с проблемой.
Junior Member
Вес репутации
20
Всё сделано, Хром ещё после вчерашних манипуляций ожил и пока, вроде как, ведёт себя стабильно.
Левые переходы, подмена поисковика, зависания и долгая загрузка страниц исчезли.
Спасибо!
Лог во вложении.
Fixlog.txt
Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.