Решена Ноутбук без выхода в интернет с несколькими разновидностями зловредов...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 6 сен 2015.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!

    Имеется еще один ноутбук, у которого "на борту" не было антивируса и не отключили автозапуск. Перед тем, как сделать логи, не до конца, но просканировал его Kaspersky Live CD (было найдено около 5-ти разновидностей зловредов. Позже ноут был подключен к интернету (после установки антивируса и отключения автозапуска), но сайты даже с активным Wi-Fi-соединением не загружаются. Логи во вложении, просьба посмотреть...
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Weatherbar удалите через Установку программ

    Амиго, если сами не устанавливали, тоже удалите

    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll','');
     QuarantineFile('C:\Users\Дом\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
     QuarantineFile('C:\Windows\System32\wlanmgr.dll','');
     QuarantineFile('C:\Windows\System32\KBDMAI.dll','');
     QuarantineFile('C:\Windows\System32\ir16_32.dll','');
     QuarantineFile('C:\Windows\System32\d3dadapter.dll','');
     QuarantineFile('F:\RECYCLER\e5188982.exe','');
     QuarantineFile('C:\Users\Дом\AppData\Local\Microsoft\Windows\toolbar.exe','');
     QuarantineFile('C:\WINDOWS\configuration\configuration.exe','');
     DeleteFile('C:\WINDOWS\configuration\configuration.exe','32');
     DeleteFile('C:\Users\Дом\AppData\Local\Microsoft\Windows\toolbar.exe','32');
     DeleteFile('F:\RECYCLER\e5188982.exe','32');
     DeleteFile('C:\Windows\System32\d3dadapter.dll','32');
     DeleteFile('C:\Windows\System32\ir16_32.dll','32');
     DeleteFile('C:\Windows\System32\KBDMAI.dll','32');
     DeleteFile('C:\Windows\System32\wlanmgr.dll','32');
     DeleteFile('C:\Users\Дом\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
     DeleteFile('C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll','32');
     DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
     DelBHO('{17177FAA-3830-43D3-A70B-FDE532676B1E}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sbnknc','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\configuration','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Auto','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','configuration');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(15);
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip с помощью этой формы.

    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

      [​IMG]
    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
     
    Razey нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!
    Спасибо!
    Логи во вложении, quarantine.zip по форме отправил.
    --- Объединённое сообщение, 6 сен 2015, Дата первоначального сообщения: 6 сен 2015 ---
    По "симптомам" - активное заражение пропало, однако появляется всплывающая реклама (mozilla), а также при открытии новой вкладки открывается еще одна с "подпиской" (не всегда)... Chromodo работает минуты 2, после подвисает и совсем прекращает работу, "сказав" о том, что ошибка критическая...
     

    Вложения:

  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено.
     

    Вложения:

    • Addition.txt
      Размер файла:
      34,8 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      55,3 КБ
      Просмотров:
      1
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    HKLM\...\Run: [] => [X]
    CHR Extension: (Ultimate Discounter) - C:\Users\Дом\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-12-04]
    CHR Extension: (NetSecurity) - C:\Users\Дом\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogalaicobgnjddfiiananilkfdecfcki [2014-10-13]
    CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
    OPR Extension: (APIHelper) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-26]
    OPR Extension: (Ultimate Discounter) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2014-12-04]
    OPR Extension: (Adobe DTM Switch) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-12-04]
    OPR Extension: (NetSecurity) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\ogalaicobgnjddfiiananilkfdecfcki [2014-10-13]
    S2 d3dadapter; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
    S2 ir16_32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
    S2 kbdmai; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
    S2 wlanmgr; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
    2015-09-02 08:54 - 2015-09-02 08:54 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_mvusbews_01009.Wdf
    C:\Users\Дом\AppData\Local\Temp\AmigoDistrib.exe
    C:\Users\Дом\AppData\Local\Temp\amigo_setup.exe
    AlternateDataStreams: C:\Windows\system32\HP1100LM.DLL:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\HP1100SM.EXE:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\HP1100SMs.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\HPSIsvc.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\mvusbews.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\CFRMD.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\mvusbews.sys:$CmdTcID
    AlternateDataStreams: C:\Users\Дом\Desktop\FRST.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Дом\Desktop\FRST.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Дом\Downloads\AutoLogger.zip:$CmdZnID
    AlternateDataStreams: C:\Users\Дом\Downloads\LJP1100_P1560_P1600_Full_Solution.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Дом\Downloads\LJP1100_P1560_P1600_Full_Solution.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Дом\Downloads\TeamViewer_Setup_ru.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Дом\Downloads\TeamViewer_Setup_ru.exe:$CmdZnID
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
    Razey нравится это.
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      5,4 КБ
      Просмотров:
      0
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Что с проблемой?
     
  9. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Исчезли... Спасибо. Закрываем тему?
     
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
     
    Razey нравится это.
  11. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено.

    SecurityCheck by glax24 v.1.4.0.27 [24.08.15]
    WebSite: www.safezone.cc
    DateLog: 06.09.2015 17:32:06
    Path starting: C:\Users\Дом\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Дом
    VersionXML: 1.73is
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
    Дата установки ОС: 10.10.2013 10:12:54
    Статус лицензии: Windows(R) 7, Ultimate edition Windows находится в режиме уведомления
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files\Comodo\Chromodo\chromodo.exe
    Системный диск: C: ФС: [NTFS] Емкость: [49.2 Гб] Занято: [32.2 Гб] Свободно: [17 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 10.0.9200.17457 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен
    Автоматическое обновление отключено

    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    COMODO Antivirus (включен и обновлен)
    ---------------------------- [ Firewall_WMI ] -----------------------------
    COMODO Firewall (включен)
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Comodo Defense+ (включен и обновлен)
    Windows Defender (выключен и устарел)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    COMODO Internet Security Premium v.8.2.0.4674
    --------------------------- [ OtherUtilities ] ----------------------------
    CCleaner v.5.09
    CCleaner 3.14.1616
    Skype 5.6.0.110
    TeamViewer 10 v.10.0.45862
    Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
    Необязательное обновление.
    Microsoft Silverlight v.5.1.40728.0
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 18 NPAPI v.18.0.0.232
    Adobe Reader XI (11.0.12) - Russian v.11.0.12
    Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
    ------------------------------- [ Browser ] -------------------------------
    Chromodo v.44.5.7.268
    Mozilla Firefox 34.0 (x86 ru) v.34.0 Внимание! Скачать обновления
    ---------------------------- [ UnwantedApps ] -----------------------------
    MarketResearch v.130.0.374.000 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
    SmartWebPrinting v.130.0.457.000 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
    ----------------------------- [ End of Log ] ------------------------------
     
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Razey нравится это.
  13. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено.
     

    Вложения:

    • mbam_log.txt
      Размер файла:
      6,8 КБ
      Просмотров:
      3
  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    D:\Мои документы\Рабочий стол\аттестация\Калюжная.exe - самораспаковывающийся архив? Или неизвестный Вам файл?
     
    Razey нравится это.
  15. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    неизвестный файл...
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторяйте сканирование и удаляйте все найденное
     
  17. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Спасибо, выполнено. Что дальше?
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Сделайте новый лог SecurityCheck
     
    Razey нравится это.
  19. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено:

    SecurityCheck by glax24 v.1.4.0.28 [09.09.15]
    WebSite: www.safezone.cc
    DateLog: 10.09.2015 13:36:12
    Path starting: C:\Users\Дом\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Дом
    VersionXML: 1.76is
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
    Дата установки ОС: 10.10.2013 10:12:54
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files\Comodo\Chromodo\chromodo.exe
    Системный диск: C: ФС: [NTFS] Емкость: [49.2 Гб] Занято: [33.2 Гб] Свободно: [16 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя включен
    Уведомлять о загрузке и установке обновлений
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    COMODO Antivirus (включен и обновлен)
    ---------------------------- [ Firewall_WMI ] -----------------------------
    COMODO Firewall (включен)
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Comodo Defense+ (включен и обновлен)
    Windows Defender (выключен и устарел)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    COMODO Internet Security Premium v.8.2.0.4674
    --------------------------- [ OtherUtilities ] ----------------------------
    CCleaner v.5.09
    CCleaner 3.14.1616
    Malwarebytes Anti-Malware, версия 2.1.8.1057 v.2.1.8.1057
    Skype 5.6.0.110
    TeamViewer 10 v.10.0.45862
    Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
    Необязательное обновление.
    Microsoft Silverlight v.5.1.40728.0
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 18 ActiveX v.18.0.0.232
    Adobe Flash Player 18 NPAPI v.18.0.0.232
    Adobe Reader XI (11.0.12) - Russian v.11.0.12
    ------------------------------- [ Browser ] -------------------------------
    Chromodo v.44.5.7.269 [+]
    Mozilla Firefox 40.0.3 (x86 ru) v.40.0.3
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files\Mozilla Firefox\firefox.exe v.40.0.3.5716
    ----------------------------- [ End of Log ] ------------------------------
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Razey нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей