Решена Троян! Срочно help!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем АлексейМусулев, 4 июн 2016.

Статус темы:
Закрыта.
  1. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    После скачивания подозрительного файла на компе появился троян:Diablo:, логи приложил, а также файл result.
     

    Вложения:

  2. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Деинсталлируйте следующее ПО:


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\леша\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
     QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe', '');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\jynorggl.sys', '');
     QuarantineFile('C:\Windows\system32\DNSAPI.dll', '');
     DeleteFile('C:\Windows\system32\drivers\jynorggl.sys', '32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe', '32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
     DeleteFile('C:\Users\леша\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\fupdate', '64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6', '64');
     ExecuteFile('schtasks.exe', '/delete /TN "A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     DeleteService('jynorggl');
     DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ktlbvasqqh');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'KRB Updater Utility');
    BC_ImportAll;
    ExecuteRepair(21);
     ExecuteWizard('SCU', 2, 3, true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (утилита находится в папке C:\Users\леша\Desktop\Новая папка\AutoLogger\HiJackThis\HiJackThis.exe некоторые строки могут отсутствовать):
    Код (Text):

    O1 - Hosts.ICS: 192.168.137.46 android-4d5b941f6f100d74.mshome.net # 2016 6 5 10 7 46 2 115
    O1 - Hosts.ICS: 192.168.137.1
    O1 - DNSApi: File is patched - C:\Windows\system32\dnsapi.dll
    O1 - DNSApi: File is patched - C:\Windows\syswow64\dnsapi.dll
    O2-64 - BHO: ReguilarDEals - {4EF498D0-B320-4FE2-81FB-C6B5C9CDA76C} - (no file)
    O4 - HKLM\..\Policies\Explorer\Run: [39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe" --getupdate-ppapi-plugin
    O4 - HKLM\..\Policies\Explorer\Run: [KRB Updater Utility] "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S
    O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
    O4-64 - HKCU\..\Run: [ktlbvasqqh] explorer "http://nintur.ru/?utm_source=uoua03&utm_content=3774b7bfab33d18f8d8141f16cadb5e6&utm_term=33B93A81F9458E1E3A463E5A8AEA5954&utm_d=20160603"
    O4-64 - HKLM\..\Policies\Explorer\Run: [39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe" --getupdate-ppapi-plugin
    O4-64 - HKLM\..\Policies\Explorer\Run: [KRB Updater Utility] "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S
     
    - Перетащите лог Check_Browsers_LNK.log из папки с распакованным Autologger'ом на утилиту ClearLNK.

    [​IMG]

    Отчёт о работе прикрепите.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  3. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    вроде все правильно сделал
     

    Вложения:

  4. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    А где карантин на почте? Повторные логи? И эту строку:

    фиксили?
     
  5. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    карантин я отправил с помощью формы, да фиксил,но там большинства нужных строк не было, повторный лог надо сделать в Autologger?
     
  6. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    По форме не дошел продублируйте на почту.

    Именно эти две строки проверьте снова в HiJack

    Да повторный лог автологгера и

    +

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  7. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    на почту прислал
     

    Вложения:

  8. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
     
  9. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    вот
     

    Вложения:

  10. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Прочтите внимательнее, что нужно сделать и какой нужен лог с буквой C а не S
     
  11. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    этот?
     

    Вложения:

  12. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Да этот, уже все лучше.

    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


      [​IMG]

    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Подробнее читайте в этом руководстве.
     
  13. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    сделал
     

    Вложения:

    • FRST.txt
      Размер файла:
      68,8 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      44,3 КБ
      Просмотров:
      2
  14. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код ( (Unknown Language)):
    start
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%\"
    CreateRestorePoint:
    HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\...\Run: [AdobeBridge] => [X]
    ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
    ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
    ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    BHO-x32: Research Bar -> {AEF595EA-2BEF-4F13-9D57-031060958C69} -> C:\Program Files\MTI\ResearchBarIE\TNSbar.dll => No File
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-1089988304-2270247092-1082221458-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF NetworkProxy: "type", ""
    CHR HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cfddaegnkmjagelbdokgchblpjdneglm] - C:\Users\леша\AppData\Local\Metabar\metabar-fc-zenit.crx <not found>
    CHR HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pbnhjaeolclgbofikfkagcgocgkbmkkh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
    2016-06-03 20:47 - 2016-06-04 18:18 - 00000346 _____ C:\Windows\Tasks\PED_Torrent_Search.job
    2016-06-03 20:47 - 2016-06-03 20:47 - 00003366 _____ C:\Windows\System32\Tasks\PED_Torrent_Search
    2016-06-03 20:47 - 2016-06-03 20:47 - 00000000 ____D C:\Users\Все пользователи\Torrent_Search_PED
    2016-06-03 20:47 - 2016-06-03 20:47 - 00000000 ____D C:\ProgramData\Torrent_Search_PED
    2016-06-03 20:44 - 2016-06-03 20:44 - 00000000 ____D C:\Users\леша\AppData\Local\Вoйти в Интeрнет
    2016-06-03 20:39 - 2016-06-03 20:39 - 00000000 ____D C:\Users\леша\AppData\Local\Поиcк в Интeрнете
    2016-06-03 20:38 - 2016-06-03 20:47 - 00000000 ____D C:\Users\леша\AppData\Roaming\Checkers
    2016-06-03 22:33 - 2014-01-31 23:05 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
    2016-06-03 22:33 - 2014-01-31 23:05 - 00000258 __RSH C:\ProgramData\ntuser.pol
    2016-06-03 20:46 - 2009-07-14 07:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
    2013-10-08 15:13 - 2013-10-08 15:13 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    Task: {10B3FE48-A03C-42A1-BE52-91319EA333DA} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
    Task: {116F1E13-0853-485E-A138-274FC7C296BD} - System32\Tasks\PED_Torrent_Search => Rundll32.exe VsuhDd9.dll,#67
    Task: {A06B2F6B-504A-48F6-B9C2-3DFC41A97BD7} - \DNSKINGSTON -> No File <==== ATTENTION
    Task: {AAA27A62-EA4D-4B25-B9B2-67776FF54B75} - \Microsoft\Windows\A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6 -> No File <==== ATTENTION
    Task: {D5F7C8A9-2EF7-4E14-9614-CB8A3C0DB4DD} - \Update Service for Torrent Search -> No File <==== ATTENTION
    Task: {DF4EAE4B-DCAD-49EE-A808-E62D23F7A293} - \DigitalSite -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\PED_Torrent_Search.job => C:\ProgramData\Torrent_Search_PED\rundll32.exeVsuhDd9.dll
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [264]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [264]
    AlternateDataStreams: C:\Users\леша\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\леша\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\леша\AppData\Local\Application Data:wa [178]


    cmd: ipconfig /flushdns
    cmd: ipconfig /release
    cmd: ipconfig /renew
    cmd: bitsadmin /reset /allusers
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
     
  15. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    сделал
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      14,9 КБ
      Просмотров:
      1
  16. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Что с проблемами?
     
  17. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    а как проверить?
     
  18. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Ну как-то вы поняли, что заразились.
     
  19. АлексейМусулев
    Оффлайн

    АлексейМусулев Новый пользователь

    Сообщения:
    13
    Симпатии:
    6
    Вроде все очистилось) теперь ничего не вылезает) круто, спасибо вам большое! Как вас можно отблагодарить?
     
  20. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    http://safezone.cc/threads/zhelajuschim-podderzhat-proekt.1772/

    +

    http://safezone.cc/threads/kniga-otzyvov.23482/

    напоследок:

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
     
Статус темы:
Закрыта.

Поделиться этой страницей