Поймал мальварь. Прописывает свои урлы и расширения в браузерах.
Пробовал чистить с помощью Malwarebytes -- полностью вылечить не удалось.
Поймал мальварь. Прописывает свои урлы и расширения в браузерах.
Пробовал чистить с помощью Malwarebytes -- полностью вылечить не удалось.
Уважаемый(ая) iRomul, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}: [URL] = http://search-cdn.net/fip/?q={searchTerms} - CDNSearch O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O22 - Task: KqdtlbqHvSjsUJvxC2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\cuSASinsudwhZDAJdLR\zOhIQGx.dll",#1 O22 - Task: lphpVjFXGRmzgeM2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\gxKrZhyIU\ibvBOS.dll",#1 O22 - Task: oqEPgFfIPTIVsDgpQpM2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\lalfWCuYfhxHC\hzUOKnP.dll",#1
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\lalfWCuYfhxHC\hzUOKnP.dll',''); QuarantineFileF('C:\Program Files (x86)\lalfWCuYfhxHC', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0); QuarantineFile('C:\Program Files (x86)\gxKrZhyIU\ibvBOS.dll',''); QuarantineFileF('C:\Program Files (x86)\gxKrZhyIU', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0); QuarantineFile('C:\Program Files (x86)\cuSASinsudwhZDAJdLR\zOhIQGx.dll',''); QuarantineFileF('C:\Program Files (x86)\cuSASinsudwhZDAJdLR', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0); DeleteSchedulerTask('KqdtlbqHvSjsUJvxC2'); DeleteFile('C:\Program Files (x86)\cuSASinsudwhZDAJdLR\zOhIQGx.dll','64'); DeleteFile('C:\Program Files (x86)\gxKrZhyIU\ibvBOS.dll','64'); DeleteSchedulerTask('lphpVjFXGRmzgeM2'); DeleteSchedulerTask('oqEPgFfIPTIVsDgpQpM2'); DeleteFile('C:\Program Files (x86)\lalfWCuYfhxHC\hzUOKnP.dll','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог AdwCleaner
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
- Закройте и сохраните все открытые приложения.
- Выделите следующий код::
Код:Start:: CreateRestorePoint: CloseProcesses: URLSearchHook: HKU\S-1-5-21-4206135083-2829610341-3398925850-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File Toolbar: HKU\S-1-5-21-4206135083-2829610341-3398925850-1001 -> No Name - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} - No File Toolbar: HKU\S-1-5-21-4206135083-2829610341-3398925850-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - No File File: C:\Program Files\Mozilla Firefox\browser\features\{5E84F231-D236-45DA-ACAF-E27F4001BEBA}.xpi File: C:\WINDOWS\SysWOW64\Drivers\vdmwndq5.sys 2020-01-13 00:32 - 2020-01-13 12:45 - 000000000 ____D C:\Program Files (x86)\lalfWCuYfhxHC 2020-01-13 00:32 - 2020-01-13 12:45 - 000000000 ____D C:\Program Files (x86)\cuSASinsudwhZDAJdLR Folder: C:\Program Files (x86)\Bonnamassa 2020-01-13 00:32 - 2020-01-13 00:32 - 000000000 ____D C:\Program Files (x86)\ImTuMjkSkpUn 2020-01-13 00:31 - 2020-01-13 12:45 - 000000000 ____D C:\Program Files (x86)\gxKrZhyIU 2020-01-13 00:31 - 2020-01-13 01:21 - 000000000 ____D C:\Program Files (x86)\YDoRHKtuKayU2 2020-01-13 00:31 - 2020-01-13 01:21 - 000000000 ____D C:\Program Files (x86)\ltMvkDGGbIE ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> No File FirewallRules: [VIRT-MIGL-In-TCP-NoScope] => (Allow) %systemroot%\system32\vmms.exe No File FirewallRules: [VIRT-REMOTEDESKTOP-In-TCP-NoScope] => (Allow) %systemroot%\system32\vmms.exe No File Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST/FRST64 (от имени администратора).
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил скрипт, перезагрузился.
Тем не менее, в Firefox на новой вкладке открывается адрес, явно заданный не мной:
https://find-it.pro/?utm_source=distr_m
Чем еще можно просканировать на предмет адвари?
Спасибо.
Вы не приложили лог Fixlog.txt. Попробуйте отключить все расширения в Firefox и сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикрепил лог.
Отключил все расширения -- по-прежнему на новой вкладке открывается эта страница, при чем в настройках браузера для новых вкладок указано "Домашняя страница Firefox". Если поставить "Пустая страница", то действительно откроется пустая страница.
- Закройте и сохраните все открытые приложения.
- Выделите следующий код::
Код:Start:: GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Virutotal: C:\Program Files\Mozilla Firefox\browser\features\{5E84F231-D236-45DA-ACAF-E27F4001BEBA}.xpi Zip: C:\Program Files\Mozilla Firefox\browser\features\{5E84F231-D236-45DA-ACAF-E27F4001BEBA}.xpi C:\Program Files (x86)\Bonnamassa Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST/FRST64 (от имени администратора).
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Что из следующего вам известно (уведомления)?
Уточните пожалуйста у Вас firefox случайно не синхронизирован?Код:FF Notifications: Mozilla\Firefox\Profiles\beowbbf1.default -> hxxps://nexign-rnd.slack.com; hxxps://app.slack.com; hxxps://mail-notification.info
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово.
Больше перехода на поисковую страницу не происходит.
Да, синхронизация включена, но не на расширения.
Из нотификаций мне известны все с домена *.slack.com. Что такое hxxps://mail-notification.info -- я не знаю.
Отправил карантив в вирлаб, ожидайте результат.
А если отключить синхронизации на время, проблема воспроизводится?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Перед проверкой расширение снова установилось. Отключил синхронизацию, удалил его руками из Mozilla Firefox\browser\features\ -- вроде бы всё ОК, .xpi файл больше не загружается, страница с поиском не появляется.
Как же теперь его из облака удалить?
Я еще ответ не получил по расширению от Вирлаба.
Попробуйте выполнить очистку данных следующим образом (обратите внимание, что все данные из облака удаляться):
Подробнее : https://support.mozilla.org/en-US/questions/1003802
Goto - https://account.services.mozilla.com/
Login using your emailid and passowrd
Sync Settings > Clear your Sync data
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\program files (x86)\cusasinsudwhzdajdlr\zohiqgx.dll - not=
-a-virus:HEUR:AdWare.Win32.Neoreklami.gen ( AVAST4: Win32:Adware-g=
en [Adw] )- c:\program files (x86)\lalfwcuyfhxhc\hzuoknp.dll - not-a-vir=
us:HEUR:AdWare.Win32.Generic ( AVAST4: Win32:Adware-gen [Adw] )- \{5e84f231-d236-45da-acaf-e27f4001beba}.xpi - not-a-virus:HEUR=
:AdWare.Script.Generic
Уважаемый(ая) iRomul, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.