Решена Вирус в GoogleUpdate

Тема в разделе "Лечение компьютерных вирусов", создана пользователем idiscodancer, 24 мар 2016.

Статус темы:
Закрыта.
  1. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Здравствуйте. После установки Timeviewer, при открытии браузера стали появятся сообщения, "Поздравляем! Вы сегодняшний счастливый посетитель". Удаление Timeviewer не помогло, восстановление системы тоже, антивирус ничего не находит. Заметил, что если почистить реестр, то до перезарузки эти сообщения исчезают, если остановить процесс GoogleUpdate тоже проходит. В установленных программах ничего подозрительного не нашел. Подскажите, что это может быть и как с этим бороться. Спасибо.
     
  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
  3. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0

    Вложения:

  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    idiscodancer, эти расширения в Google Chrome вам знакомы?
    Extension dkpejdfnpdkhifgbancbammdijojoffk 1 Logitech Smooth Scrolling 6.65.62
    Extension gighmmpiobklfepjocnamgkkbiglidom 0 AdBlock 2.53
    Extension hanjiajgnonaobdlklncdjdmpbomlhoa 1 MusicSig vkontakte 3.1.15


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files\google\googleupdate.exe');
     QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.ahk','');
     QuarantineFileF('C:\Program Files\Google', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
     DeleteFile('C:\Program Files\Google\GoogleUpdate.exe', '32');
     DeleteService('gupdatem');
     DeleteService('gupdate');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google Services');
    ExecuteSysClean;
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteRepair(3);
    ExecuteRepair(4);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  5. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Логи повторной диагностики и отчет AdwCleaner
    --- Объединённое сообщение, 28 мар 2016 ---
    Да, эти расширения сам ставил, первое это для мыши, качал с офсайта, второе блокиратор рекламы, третье для скачивания музыки.
    --- Объединённое сообщение, 28 мар 2016 ---
    Спасибо большое. После выполнения всех вышеописанных действий, больше сообщений не появляется и процесс GoogleUpdate тоже сам собой не запускается.
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  7. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Отчет
     

    Вложения:

  8. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    idiscodancer, посмотрите содержимое этой папки пожалуйста C:\Program Files\Google.
     
  9. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Эта папка пуста
    А в C:\Program Files(х86)\Google находятся две папки Chrome и CrachReports
     
    Последнее редактирование: 30 мар 2016
  10. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    idiscodancer, а что в папках Chrome и CrachReports?
     
  11. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    В папке Chrome находятся две папки Application в ней папка 48.0.2564.116, 49.0.2623.87, chrome.exe, chrome.VisualElementsManifest.xml, папка CrachReports пустая
     
  12. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    idiscodancer, сделайте контрольные логи по правилам (автологером)
     
  13. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
     

    Вложения:

  14. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
     
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  15. idiscodancer
    Оффлайн

    idiscodancer Новый пользователь

    Сообщения:
    22
    Симпатии:
    0
    Большое спасибо за помощь! Без вас я бы не справился!
     
Статус темы:
Закрыта.

Поделиться этой страницей