Norton блокирует атаку

**ReneGA** · 03.01.2021, 15:12

Добрый день.
Norton часто выводить информацию о блокировании атаки с сайта google.ru

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.01.2021, 15:14

Уважаемый(ая) ReneGA, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**ReneGA** · 03.01.2021, 15:17

Сории

**Vvvyg** · 04.01.2021, 14:46

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
 DeleteFileMask('C:\ProgramData\Windows', '*', true);
 DeleteDirectory('C:\ProgramData\Windows');
 DeleteSchedulerTask('Adobe Flash Player NPAPI Notifier');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\Windows Activation Technologies\Windows Activation Technologies');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: http://webcompanion.com

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ReneGA** · 04.01.2021, 15:31

Добрый день.
сделал, карантин отправил

**Vvvyg** · 04.01.2021, 16:35

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {0b4b78ac-0cd3-11e8-82ed-f46d04b00c0d} - "J:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {110545f5-2281-11e8-82ee-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {1296c028-d9c6-11e7-82ec-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {150ffed3-4ea9-11e7-82e0-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {1b584a04-aff0-11e7-82eb-f46d04b00c0d} - "K:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {3af3b39e-5b50-11e8-82f5-f46d04b00c0d} - "K:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {3d08e0cc-f1b0-11e5-82ac-f46d04b00c0d} - "J:\SISetup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {4ab0bcf0-a117-11e6-82c7-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {6d15eddd-0688-11e7-82d5-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {745514ef-a9ab-11ea-8330-f46d04b00c0d} - "J:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {774d0401-8d30-11ea-832b-f46d04b00c0d} - "J:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {7bd456ef-2999-11e7-82d8-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {805b5b14-c322-11e5-82a2-f46d04b00c0d} - "K:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {93d5d5df-ef07-11e7-82ec-f46d04b00c0d} - "J:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {961dd3c6-42ad-11e7-82df-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {c151738f-ba46-11e8-8301-f46d04b00c0d} - "J:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {c839b438-e379-11e5-82a7-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {cc090815-4663-11e9-8310-f46d04b00c0d} - "K:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {ec638a87-9428-11e6-82c6-f46d04b00c0d} - "J:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {eff23f72-a2ec-11e7-82eb-f46d04b00c0d} - "K:\Setup.exe" 
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\MountPoints2: {febf6e54-eec5-11e5-82ac-f46d04b00c0d} - "J:\Setup.exe" 
Task: {0F8157AB-D010-4465-B9BD-EC6A6EDF5253} - \AutoKMS -> No File <==== ATTENTION
Task: {1577E47B-F33F-4B27-BED1-332A0694D430} - \Optimize Start Menu Cache Files-S-1-5-21-383145773-37685021-744940955-1001 -> No File <==== ATTENTION
Task: {44CA28A4-171A-464B-99E5-72ABA68D4BC8} - \WPD\SqmUpload_S-1-5-21-383145773-37685021-744940955-1001 -> No File <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
Shortcut: C:\Users\Zver\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Пересечение судеб\Uninstall Пересечение судеб.lnk -> F:\Games\125\uninstall.exe (No File) <==== Cyrillic
Shortcut: C:\Users\Zver\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Пересечение судеб\Пересечение судеб.lnk -> F:\Games\125\ParallelsCross.exe (No File) <==== Cyrillic
AlternateDataStreams: C:\ProgramData\TEMP:00A9B537 [138]
AlternateDataStreams: C:\ProgramData\TEMP:012BC84F [120]
AlternateDataStreams: C:\ProgramData\TEMP:14B2E0BD [262]
AlternateDataStreams: C:\ProgramData\TEMP:3D922890 [258]
AlternateDataStreams: C:\ProgramData\TEMP:474022C7 [125]
AlternateDataStreams: C:\ProgramData\TEMP:587F3582 [173]
AlternateDataStreams: C:\ProgramData\TEMP:A4E7D25F [124]
AlternateDataStreams: C:\ProgramData\TEMP:F5D01D7C [270]
HKU\S-1-5-21-383145773-37685021-744940955-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://yuwik.ru/
URLSearchHook: HKLM-x32 - (No Name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - No File
URLSearchHook: HKU\S-1-5-21-383145773-37685021-744940955-1002 - (No Name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - No File
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched"
HKLM\...\StartupApproved\Run32: => "VKSaver"
HKU\S-1-5-21-383145773-37685021-744940955-1002\...\StartupApproved\Run: => "MailRuUpdater"
CMD: wmic path Win32_QuickFixEngineering get HotFixId
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**ReneGA** · 04.01.2021, 16:44

Выполнил, проблема вроде пропала.
Спасибо.

**Vvvyg** · 04.01.2021, 16:58

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**ReneGA** · 04.01.2021, 17:36

Готово.

**Vvvyg** · 04.01.2021, 21:14

HotFix KB4578013 Внимание! Скачать обновления

Рекомендуется установить этот критический хотфикс.

Adobe Flash Player 18 ActiveX & Plugin 64-bit v.18.0.0.232 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

И удалить устаревший Adobe Flash Player.

В остальном порядок.

**ReneGA** · 04.01.2021, 21:28

Спасибо. Как всегда быстро и грамотно.
По вопросу помощи проекту, не все данные актуальные.
Ещё раз спасибо.

**CyberHelper** · 04.01.2021, 21:38

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Norton блокирует атаку (заявка № 226174)

Опции темы