Решена Автоматически открываются рекламные сайты

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Albert, 17 окт 2016.

Статус темы:
Закрыта.
  1. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Ребята, здравствуйте! Сдуру запустил скачанный «экзешник», в результате чего поймал вредоносные программы. Теперь постоянно автоматически открываются сайты типа «Игровые автоматы», «СуперСлотс» и т. п. На всех открываемых мной сайтах сбоку и сверху висит реклама. Автоматом установились программы «Поиск в интернете», «Mail.ru» и «Выйти в интернет». Браузер Google Chrome. Так же в закладках браузера (под адресной строкой) появились «Mail.ru» и «Поиск в интернете». В автозагрузке появились файлы сценариев VBScript regCheck.vbs. Я нашёл их все в системе, но не удалял. Ещё скачалась какая-то игрушка с Mail.ru, но я не помню её название, потому что ярлык с рабочего стола я удалил сразу чисто машинально, и это, наверное, было моей оплошностью. Просто я не люблю загруженный рабочий стол, а программы запускаю либо из меню «Пуск», либо с панели задач. А решил я, что загрузка произошла с Mail.ru, потому что у меня там почта, и я неоднократно видел там на неё ссылку. Если у Вас ещё есть какие-то вопросы, или нужны какие-то уточнения – пишите. Постараюсь разобраться и ответить.
    P. S. Вам нужен только архив, или текстовые файлы report.log тоже Вам загрузить?
     

    Вложения:

  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Здравствуйте.
    Удалите через установку и удаление программ:
    ScreenUp

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
      ExecuteFile('schtasks.exe', '/delete /TN "Trusted Line Helper" /F', 0, 15000, true);
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       TerminateProcessByName('c:\program files\screenup\future_helper.exe');
       QuarantineFileF('c:\program files\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
       QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
       QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
       QuarantineFile('c:\program files\screenup\future_helper.exe', '');
       QuarantineFile('C:\Program Files\ScreenUp\nfapi.dll', '');
       QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\OfDbbC0aQR.exe', '');
       QuarantineFile('C:\Program Files\ScreenUp\ProtocolFilters.dll', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\DateOption\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\FilterOptions\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\FileSystemOptions\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\TestMenu\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\ImmediateHelp\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\LastNews\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\ValidateLife\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\rightchose\regCheck.vbs', '');
       QuarantineFile('C:\Users\Альберт\AppData\LocalLow\SearchGo\searchgo.dll', '');
       QuarantineFile('C:\Users\Альберт\AppData\Local\SearchGo\searchgo.exe', '');
       DeleteFile('c:\program files\screenup\future_helper.exe', '32');
       DeleteFile('C:\Program Files\ScreenUp\nfapi.dll', '32');
       DeleteFile('C:\Program Files\ScreenUp\ProtocolFilters.dll', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\DateOption\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\FilterOptions\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\TestMenu\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\LastNews\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\ValidateLife\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\rightchose\regCheck.vbs', '32');
       DeleteFile('C:\Users\Альберт\AppData\LocalLow\SearchGo\searchgo.dll', '32');
       DeleteFile('C:\Users\Альберт\AppData\Local\SearchGo\searchgo.exe', '32');
       DeleteFileMask('c:\program files\screenup', '*', true);
       DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
       DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
       DeleteDirectory('c:\program files\screenup');
       DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
       DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
       DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
       DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
      RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'stzspsakli');
      RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
      RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
      RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
      RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
      RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
      RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
      RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
      RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  3. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    При попытке удаления программы «ScreenUp» через «Программы и компоненты» панели управления появилось окно: «Произошла ошибка при попытке удаления «ScreenUp». Возможно, удаление уже было выполнено ранее. Хотите удалить «ScreenUp» из списка программ и компонентов?» Я нажал кнопку «Нет», и скрипт и все остальные действия пока не выполнял, так как в вашем ответе необходимость удаления этой программы расположено в самом Вашего сообщения начале перед выполнением скрипта и остальных действий с системой. Саму программу я не удалял, так как обнаружил её только сейчас. Можно ли выполнить указанные Вами действия до удаления программы «ScreenUp»?

    Обнаружил «ScreenUp» в ветвях системного реестра:

    Компьютер\HKEY_CURRENT_USER\Software\ScreenUp

    Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ScreenUp

    Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\ScreenUp

    Компьютер\HKEY_USERS\S-1-5-21-1341229968-2607555937-2744488822-1001\Software\ScreenUp

    То есть понятно, что программа в системе есть.

    И вот ещё что. В «Программах и компонентах» панели управления обнаружил программы «Youtube AdBlock» и «Video and Audio Plugin UBar», причём программа «Video and Audio Plugin UBar» по дате установки совпадает с установкой «ScreenUp» (7.10.2016), а «Youtube AdBlock» была установлена вообще вчера (17.10.2016), но я не помню, чтобы я их устанавливал.
     
  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Повторите и нажмите "Да"

    Удалите их то же,алгоритм прежний.

    Далее все равно выполняем данные мной ранее инструкции.
     
  5. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Я выполнил оба скрипта в программе AVZ (первый скрипт немного подвис во время выполнения, то есть рядом с названием программы была надпись "Не отвечает").
    А у меня небольшой вопрос-уточнение по форме с форума oszone.net:

    Если можно, подробнее пожалуйста. На форуме oszone.net я скопировал в поле "Полный URL-адрес Вашей темы с запросом о помощи" URL-адрес своей темы на форуме safezone и в поле "Ваше имя пользователя (ник) на форуме" написал своё имя на форуме safezone. Файл прикрепил. А вот где указать имя почтового ящика и как создать пароль мне не очень понятно. Или это произойдёт дальше, после нажатия на кнопку "Послать сообщение"?
    И с утилитой ClearLNK тоже мне не совсем понятно. Лог Check_Browsers_LNK.log я нашёл. Я должен запустить ClearLNK, перетащить туда лог и запустить её, или что?
    Буду благодарен за разъяснения.
    P.S. Прошу прощения за медленность своего мышления, но, наверное, я Вам напоминаю блондинок из компьютерных анекдотов. А "Защитник Winlows" нужно было отключать?
    Я когда-то серьёзно увлекался компьютерами, и всем, что с ними связано, но было это уже больше пяти лет назад, и сейчас я уже почти всё забыл и охладел к этому, хотя в данный момент и чувствую увлечение и азарт при манипуляциях с операционной системой.
     
  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Просто прикрепите файлы,а дальше все образуется.
    Пароль - открываете архив карантина и нажимаете на ключик внизу слева,если у вас winrar,если нет - посмотрите в сети инструкцию как установить пароль к архиву.
    Просто перетащите лог на утилиту
    Желательно.
     
  7. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Прошу прощения за двухдневное молчание, жутко уставал на работе физически. Отправил файл quarantine.zip, прикрепляю остальные файлы. Отключил "Защитник Windows". Во время проверки утилитой AVZ после перезагрузки сразу же открылся рекламный сайт.
     

    Вложения:

  8. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    ScreenUp - не удалили.
    не сделали
    Надо сделать.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '');
     QuarantineFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '');
     DeleteFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '32');
     DeleteFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '32');
     DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
     DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
     DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
     DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lurlvaklyl');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    SSMaker2 ваше? пользуетесь?
     
  9. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Вообще-то удалял, но эта программа появилась снова. Ранее дата установки была 7.10.2016, сейчас 19.10.2016.
    Перетаскивал, правда прикрепил не тот файл. Сейчас прикрепил необходимый.
    Когда-то пользовался программами для снятия скриншотов, сейчас использую "Ножницы", так что могу удалить, но я ни в Панели управления в "Программах и компонентах", ни в папке "Программы" меню "Пуск" эту программу не нашёл.
    Скрипты пока не выполнял, выполню - отпишусь. Или пока их не надо выполнять, всвязи с появившейся у Вас моей новой информацией?
     

    Вложения:

  10. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Выполняйте,и логи потом соберите.
     
  11. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Прикрепляю логи Autologger.
     

    Вложения:

  12. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\users\Альберт\appdata\local\filterstart\filterstart.exe');
     QuarantineFileF('c:\users\альберт\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\альберт\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('c:\users\Альберт\appdata\local\filterstart\filterstart.exe', '');
     QuarantineFile('C:\Users\Альберт\AppData\Roaming\ScreenMaker2\SSMaker.exe', '');
     QuarantineFile('C:\Users\Альберт\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\Users\Альберт\AppData\Local\svshost\svshost.exe', '');
     QuarantineFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '');
     QuarantineFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Language Manifest Helper" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
     DeleteFile('c:\users\Альберт\appdata\local\filterstart\filterstart.exe', '32');
     DeleteFile('C:\Users\Альберт\AppData\Roaming\ScreenMaker2\SSMaker.exe', '32');
     DeleteFile('C:\Users\Альберт\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Users\Альберт\AppData\Local\svshost\svshost.exe', '32');
     DeleteFile('C:\Users\Альберт\appdata\locallow\searchgo\searchgo.dll', '32');
     DeleteFile('C:\Users\Альберт\appdata\local\searchgo\searchgo.exe', '32');
     DeleteFileMask('c:\users\альберт\appdata\locallow\searchgo', '*', true);
     DeleteFileMask('c:\users\альберт\appdata\local\searchgo', '*', true);
     DeleteDirectory('c:\users\альберт\appdata\locallow\searchgo');
     DeleteDirectory('c:\users\альберт\appdata\local\searchgo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SSMaker2');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
    --- Объединённое сообщение, 23 окт 2016 ---
    + программа freemaker - ваше?
     
  13. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    freemaker - нет, не моё. Freemake (Freemake Video Converter, Freemake Video Downloader, Freemake Audio Converter) - да, и я активно ими пользуюсь.
     

    Вложения:

  14. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  15. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Подготовил лог UVS.
     

    Вложения:

  16. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.87.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.3
      v388c
      breg
      sreg

      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
      addsgn 1A9FF89A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088FAF6CC7075174 64 Trojan.Triosir.708 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART\FILTERSTART.EXE
      bl 6BA4F2AA93A33951C8B029882E1F1156 200192
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTERSTART
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
      bl 54E3A82208F75FDF5E09D32BDA2854DF 420
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
      addsgn A7679B19B192F4C63AD4AE5964CF120576DCAB7BCDDE33287AD6998C10D621B33663F3173EDE4D7AF0055690C2AE4BFA7DEC21336C96940022F90F2DC706A977 64 Trojan-Downloader.Win32.Adload.jyrq

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
      bl 44F4FD2545372EB4918AF95670BAC1F8 13312
      deldir %SystemDrive%\PROGRAM FILES\YOUTUBE ADBLOCK\IEEF
      delref HTTP://GO-SEARCH.RU/SEARCH?Q={SEARCHTERMS}
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
      addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E91378402327C 64 Trojan.LoadMoney.1408 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
      bl 0F21077ACD26B74E219AAA824E7581C4 288768
      dirzoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCALLOW\SEARCHGO
      delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC
      delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
      delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
      delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
      delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
      addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 64 Trojan.DownLoader22.51269 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
      bl 3C6DC10C0269DA71150E47A0B931B410 138464
      dirzoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\FUPDATE
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
      addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 64 Trojan.LoadMoney.1441 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
      bl 64A8157837D5DF49827F232F1295DEC2 415232
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SEARCHGO
      ; C:\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2\SSMAKER.EXE
      addsgn 1A60729A5583C28CF42B51942CF95C05AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766760221 64 Trojan.StartPage1.31020 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2\SSMAKER.EXE
      bl 0DD7F7CEFD2DA76CDD041B778E3D6BA7 1255424
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\SCREENMAKER2
      ; C:\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
      addsgn A7679BF0AA02444640D4C6AD4F881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C5FA0CE9F75C4C32EF4CA685219DA3BE4AC965B2FC706AB7E 64 Trojan.LoadMoney.1845 [DrWeb]

      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
      bl 78C9E98F51994A7AF369DB9A9ED6CDF9 829392
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\SVSHOST
      delall %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\ROOT TRUSTED HELPER.EXE
      delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=QUICKLAUNCH
      chklst
      delvir
      czoo
      deltmp
      areg
      restart
       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    Повторите лог UVs.
     
  17. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Скрипт выполнил один раз. После создания первого архива выполнить этот скрипт ещё раз, и выложить второй архив или что? Архив к форме на oszone не цепляется, так как имя архива не совпадает с заявленными на oszone, или переименовать так, чтобы совпадал с заявленными в форме? Или можно выложить прямо сюда?
     
    Последнее редактирование: 26 окт 2016
  18. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Когда скрипты выполнился - компьютер должен перезагрузиться,а в папке с uvs должен появиться файл типа: ZOO_2013-06-30_22-04-27.7z (только с актуальной датой)
    Этот файл прикрепите на oszone.
    Если что то не получится пишите.

    Затем азново повторите такую процедуру,что бы убедиться что все вредоносное правильно удалилось:

    1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    2. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    3. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    4. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  19. Albert
    Оффлайн

    Albert Активный пользователь

    Сообщения:
    47
    Симпатии:
    0
    Архив ZOO_2016-10-26_20-19-13.rar с формой на oszone не отправляется, так как "Имя файла не совпадает с требуемыми". Лог автозапуска после выполнения скрипта прикрепляю к теме.
     

    Вложения:

  20. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.228
    Симпатии:
    4.980
    Залейте на файлообменник и прикрепите ссылку.
    VIDEO ADBLOCK FOR CHROME - удалите из расширений хрома.

    Если майл ру и его сервисы не нужны,то выполняем такой скрипт

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):


      ;uVS v3.87.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.3
      v388c
      breg

      delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKNBNAPADDJDNBILPMLACDKJDKJMBJHD\1.4.3_0\VIDEO ADBLOCK FOR CHROME
      delref HTTP:\\WWW.MAIL.RU
      delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B2C38E2F8-391D-4981-9981-CE4D2CE77B59%7D&GP=811014
      delref HTTP://MAIL.RU/CNT/10445?GP=811013
      delref %SystemDrive%\USERS\АЛЬБЕРТ\DESKTOP\(MSITSTORE) HTTP://WWW.MAIL.RU/MRA?LANG=RU
      delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\LOCAL\MAIL.RU\SPUTNIK
      delref %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
      zoo %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
      deldir %SystemDrive%\USERS\АЛЬБЕРТ\APPDATA\ROAMING\MAIL.RU\AGENT
      deltmp
      czoo
      restart
       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.



    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 31 окт 2016
Статус темы:
Закрыта.

Поделиться этой страницей