Junior Member
Вес репутации
51
Профилактика и... лечение?
Здравствуйте.
Очень давно не пользовался Вашим сервисом.
Укажите недостатки в безопасности этого компьютера,
а при необходимости помогите в лечении.
Спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) geonim , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
DeleteFile('C:\Program Files\UCBrowser\Application\5.5.7852.9\Installer\chrmstp.exe', '');
DeleteFile('C:\Users\xeon\AppData\Local\ScriptWriter\ScriptWriter.exe', '');
DeleteFile('C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
DeleteFile('C:\Users\xeon\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true);
DeleteFileMask('c:\program files\ucbrowser', '*', true);
DeleteFileMask('c:\users\xeon\appdata\local\scriptwriter', '*', true);
DeleteDirectory('c:\program files\ucbrowser');
DeleteDirectory('c:\users\xeon\appdata\local\scriptwriter');
DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится.
Скачайте, распакуйте и запустите утилиту ClearLNK . Скопируйте текст ниже в окно утилиты и нажмите "Лечить ".
Код:
>>> "C:\Users\geon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\geon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> -extoff]
>>> "C:\Users\geon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> -extoff]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk" -> ["C:\Users\xeon\AppData\Local\Amigo\Application\amigo.exe"]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk" -> ["C:\Users\xeon\AppData\Local\Amigo\Application\vk.exe"]
>>> "C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk" -> ["C:\Users\xeon\AppData\Local\Amigo\Application\ok.exe"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> -extoff]
>>> "C:\Users\geon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight\Microsoft Silverlight.lnk" (содержит только знаки NUL)
- "C:\Users\xeon\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\UCB11A~1.LNK" ("C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk") (содержит только знаки NUL)
- "C:\Users\xeon\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\STARTM~1\UCB11A~1.LNK" ("C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk") (содержит только знаки NUL)
- "C:\Users\xeon\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\UCB11A~1.LNK" ("C:\Users\xeon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UC浏览器.lnk") (содержит только знаки NUL)
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KPerf 2.0.2\Remove KPerf 2.0.2.lnk" -> ["C:\Windows\unvise32.exe" =>> C:\PROGRA~1\uninstal.log]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KPerf 2.0.2\J-Perf Measurement Tool.lnk" -> ["C:\Windows\system32\java.exe" =>> -classpath ./jfreechart-0.9.6.jar;./jcommon-0.7.2.jar;./jperf.jar Jperf]
>>> "C:\Users\geon\Desktop\J-Perf Measurement Tool.lnk" -> ["C:\Windows\system32\java.exe" =>> -classpath ./jfreechart-0.9.6.jar;./jcommon-0.7.2.jar;./jperf.jar Jperf]
>>> "C:\Users\Администратор\Desktop\J-Perf Measurement Tool.lnk" -> ["C:\Windows\system32\java.exe" =>> -classpath ./jfreechart-0.9.6.jar;./jcommon-0.7.2.jar;./jperf.jar Jperf]
>>> [MASK] "C:\Users\xeon\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico" (32038 байт) (MD5: F45E88EB759D99DBFC282F419BF67C97)
>>> "C:\Users\xeon\Favorites\Links\Интернет.url" -> hxxp://exensup.ru/?utm_source=favorites03&utm_content=d9168d89b28a3e71cade9272f1050284&utm_term=4B31F1E0A4006B8DF51B07FAD0AB34DD&utm_d=20160813
Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора) )и пофиксите только эти строки :
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={F878E2CA-288B-419C-83FE-748C87DC4EB4}&i=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = socks=63.142.158.16:41374 (disabled)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3FA7563F-58AE-42F1-831B-1D8DEAE7CCF6}: [URL] = http://search.eshield.com/serp?guid={F878E2CA-288B-419C-83FE-748C87DC4EB4}&action=default_search&k={searchTerms} - eShield Safe Web
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4A38FAC8-D6D6-4BA5-AB84-1678BD7EA03F}: [URL] = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433 - Yahoo!
O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - MSConfig\startupreg: CyberGhost [command] = C:\Program Files\CyberGhost 6\CyberGhost.exe /autostart /min (HKCU) (2017/10/10) (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 95.211.158.134
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.7
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 95.211.158.134
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Pending): (no name) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Synced): (no name) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MEGA (Syncing): (no name) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task: (disabled) {799F0F53-1BCA-4F41-853C-88E67E763F4F} - C:\Program Files\Siglent\EasyScopeX\EasyScope.exe (file missing)
O22 - Task: (disabled) {8FBA6057-6C86-4748-B4E7-708E572326CE} - C:\Program Files\Siglent\EasyScopeX\EasyScope.exe (file missing)
Сделайте лог Malwarebytes AdwCleaner .
Junior Member
Вес репутации
51
Выполнено
Здравствуйте.
Спасибо за помощь.
Вложения
Удалите всё найденное в AdwCleaner , дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Junior Member
Вес репутации
51
Выполнено
Файла прикреплены.
Спасибо за помощь.
Вложения
AdwCleaner[C 00].txt нужен.
Отключите до перезагрузки антивирус, закройте все браузеры , выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-1553813025-3702316981-275956306-1001\User: Restriction - Chrome <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {0176A000-E4EC-4672-8D07-211B42BAA201} - System32\Tasks\{241AB02D-1612-409E-A2D1-A21A7DC37BDF} => D:\ELECTRONICS\Arduino\ESP8266\esp8266_flasher.exe
Task: {03E212C2-23D3-453C-9D64-FEC8ABAEBA9F} - System32\Tasks\{E14B064B-4422-42A0-9376-9BE2EE3ADCED} => C:\Windows\System32\javaw.exe
Task: {19342818-7A8F-4645-A91E-2B0780BAAF21} - System32\Tasks\{C5F00754-B927-4FB2-A0F5-D86B8C2C84AD} => C:\Program Files\Siglent\EasyScopeX\EasyScope.exe
Task: {1B3EC5E3-6F32-47C9-ABC1-F03EC4D81109} - System32\Tasks\{F316A928-5A2E-4789-8555-5E78C5526A23} => C:\Windows\system32\pcalua.exe -a C:\Users\xeon\Downloads\QuickTimeInstaller.exe -d C:\Users\xeon\Downloads
Task: {44473E54-67B0-41FE-8EFD-BACD49B0C85D} - System32\Tasks\{A3D26F7E-D952-4A9C-8FA1-537050E216FC} => C:\Windows\system32\pcalua.exe -a C:\Users\xeon\Downloads\jxpiinstall.exe -d C:\Users\xeon\Downloads
Task: {71485E35-DBFF-47B6-BF34-609AD72E9463} - System32\Tasks\{F3D759BE-0734-4D80-96E4-B1DE11C65E6B} => C:\Windows\system32\pcalua.exe -a D:\ELECTRONICS\Instrument\Programmator\CH-341\Drivers\CH341L\CH341SER.EXE -d D:\ELECTRONICS\Instrument\Programmator\CH-341\Drivers\CH341L
Task: {7487B13B-DAC6-4E83-B939-DDB6FC17071B} - System32\Tasks\{A25FB2BC-00F9-4BF1-AB5A-59F41050A963} => C:\Windows\system32\pcalua.exe -a D:\22\WinSetupFromUSB-1-9.exe -d D:\22
Task: {841EAFE1-467F-4638-88A9-7C4EF1FC981B} - System32\Tasks\{80696EB1-1FBD-491D-847F-82C0B64E4AA2} => C:\Windows\system32\pcalua.exe -a D:\ELECTRONICS\Instrument\Programmator\CH-341\Drivers\CH341-USB\CH341PAR.EXE -d D:\ELECTRONICS\Instrument\Programmator\CH-341\Drivers\CH341-USB
Task: {87FA27B1-2D9B-42B0-B527-E14EA707091A} - System32\Tasks\{A7767DC7-0588-4BB0-90D1-62D92B29FB09} => C:\Windows\system32\pcalua.exe -a C:\Users\xeon\Downloads\BluetoothDriverInstaller.exe -d C:\Users\xeon\Downloads
Task: {C8C17249-48EE-4C81-80DD-62D948D84476} - System32\Tasks\{2EA6BB76-C1DB-4187-8CA6-2949838E59CA} => D:\ELECTRONICS\Arduino\ESP8266\esp8266_flasher.exe
Task: {CD4D4DC7-37CF-4F2B-A703-51D90F599884} - System32\Tasks\{FCC955E8-E0ED-4A64-BB65-418962A0AF61} => C:\Windows\system32\pcalua.exe -a "C:\Users\xeon\AppData\Local\Apple\Apple Software Update\QuickTimeInstallerAdmin.exe" -d "C:\Users\xeon\AppData\Local\Apple\Apple Software Update"
Task: {DD78A7AB-DE23-45ED-8779-FE7A0A858A85} - System32\Tasks\{CAE70C59-17DC-40F6-AB42-EF30CFC2F1AD} => D:\ELECTRONICS\Arduino\ESP8266\XTCOM_UTIL\XTCOM_UTIL.exe
Task: {E3170735-74E9-4470-82D8-A081B2EE0C3C} - System32\Tasks\{09FB1CAC-3929-4C1A-9443-79569311BB50} => C:\Windows\system32\pcalua.exe -a "D:\INSTALL\Tronsmart\Updating instruction&Drivers&Flashing Tools\DriverAssitant_v4.3\DriverInstall.exe" -d "D:\INSTALL\Tronsmart\Updating instruction&Drivers&Flashing Tools\DriverAssitant_v4.3"
FF Plugin: JFGuide -> C:\Program Files\NetSurveillance\CMS\npGuide.dll [No File]
FF Plugin: JFWeb -> C:\Program Files\NetSurveillance\CMS\npWebPlugin.dll [No File]
CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
S3 HPSLPSVC; C:\Users\xeon\AppData\Local\Temp\7zS6552\hpslpsvc32.dll [X] <==== ATTENTION
S3 4586DEB50F5C9D3E; \??\C:\Users\xeon\AppData\Local\Temp\C4AC6955-EBB5A48-42B0AE66-2B621231\3607b040bda.sys [X] <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1553813025-3702316981-275956306-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> no filepath
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> [CC]{0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File
AlternateDataStreams: C:\ProgramData\TEMP:DBC416F8 [144]
HKU\S-1-5-21-1553813025-3702316981-275956306-1000\Software\Classes\.exe: => <==== ATTENTION
MSCONFIG\Services: QMGWIG => 3
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj .
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt .
Приложите этот файл к своему следующему сообщению.
Последний раз редактировалось Vvvyg; 17.10.2019 в 06:57 .
WBR,
Vadim