Решена zurgop.c!bit

Статус
В этой теме нельзя размещать новые ответы.

Alexander Demidov

Новый пользователь
Сообщения
49
Реакции
3
Здравствуйте!
Действуя по инструкции в этой теме, просканировал комп этой утилитой. Она нашла больше угроз, чем SpyHunter, и успешно удалила их, но зависает при попытке удаления последних двух:
* [ Chromium URLs ] *

PUP.Optional.Photor photoramochka.ru
PUP.Optional.SofTonicAssistant Softonic EN

и комп программно не перегружается и не выключается. Приходится выключать его кнопкой. Лог прилагаю.
 

Вложения

  • AdwCleaner[S03].txt
    1.5 KB · Просмотры: 2
Добрый день! Windows Defender несколько раз в день находит эту угрозу на моем компе под Windows 10 LTSB, описываемую им как TrojanDownloader:Win32/Zurgop.C!bit, и удаляет, помещая в карантин, однако в карантине я его не нахожу. Не нахожу я его и в Интернете - вот описание ближайшего подобного вируса: Zurgop!bit. Не находят его и другие антивирусные программы, которыми я просканировал комп: SpyHunter, AuslogicsAntiMalware и Adwcleaner. В чем тут может быть дело?
 
Здравствуйте!

В соседней теме этот же компьютер?
Начните с выполнения стандартных правил: https://safezone.cc/pravila/
 
Да, в соседней теме тот же компьютер. Посмотрел стандартные правила. Часть, как мне кажется, я уже выполнил, лог сделать могу, а вот какое новое сообщение создавать - не понятно. С тем же названием, что и это? Почему я не могу прикрепить этот лог в эту тему?
 
Новое сообщение не нужно, логи крепите к этой теме.
 
Все понятно. Файл с логами прикрепляю. Плюс сообщение Windows Defender об этом вирусе.
 

Вложения

  • CollectionLog-2019.03.03-19.45.zip
    52.7 KB · Просмотры: 2
  • Zurgop.C!bit.png
    Zurgop.C!bit.png
    31.4 KB · Просмотры: 77
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('gupdate', 4);
 SetServiceStart('gupdatem', 4);
 SetServiceStart('localNETService', 4);
 QuarantineFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe', '');
 QuarantineFile('C:\Program Files (x86)\lSuxVLLzOIE\tqOaI6P.dll', '');
 QuarantineFile('C:\Program Files (x86)\WindowManager\WindowManager.exe', '');
 QuarantineFile('C:\ProgramData\localNETService\localNETService.exe', '');
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe', '');
 DeleteFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe', '64');
 DeleteFile('C:\Program Files (x86)\lSuxVLLzOIE\tqOaI6P.dll', '64');
 DeleteFile('C:\ProgramData\localNETService\localNETService.exe', '64');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
 DeleteService('gupdate');
 DeleteService('gupdatem');
 DeleteService('localNETService');
 DeleteSchedulerTask('GoogleUpdateTaskMachineCore');
 DeleteSchedulerTask('GoogleUpdateTaskMachineUA');
 DeleteSchedulerTask('Microsoft\QuickLaunch');
 DeleteSchedulerTask('Microsoft\Windows\Starter');
 DelBHO('{E3049DDB-BF78-48FC-A37E-190DF306098F}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {E3049DDB-BF78-48FC-A37E-190DF306098F} - (no file)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TEMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\.DEFAULT\..\Environment: [TMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\AVD\AppData\Local\Temp (folder missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)


  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Спасибо за подробные и вразумительные указания. Все сделаю, как предложено.
 
Все выполнено. Только я прикрепил лог-файл не C:\AdwCleaner\Logs\AdwCleaner[S00].txt, а AdwCleaner[S04], так как указанный Вами был сформирован AdwCleanerом, когда я сканировал свою систему в первый раз. AdwCleaner я закрыл на показанном окне, не выполняя лечения, так как такого указания я не получил. Спасибо за помощь.
 

Вложения

  • AdwCleaner[S04].txt
    1.9 KB · Просмотры: 2
  • AdwCleaner[S04].png
    AdwCleaner[S04].png
    11.9 KB · Просмотры: 62
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Спасибо за очередные инструкции. Не понял один момент. Вы пишите:
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

На каком этапе нужна перезагрузка? После отправки отчета и перед скачиваением Farbar Recovery Scan Tool?
 
Полная очистка в AdwCleaner произойдет после перезагрузки. Отчёт можно прислать после неё.
 
Если я правильно понял, AdwCleaner сам перезагрузит или предложит мне перезагрузить мой компьютер.
 
Вы правильно поняли.
 
Действуя по инструкции, просканировал комп AdwCleaner'ом и нажал кнопку "Clean & Repair" и выбрал перезагрузку сразу после лечения. AdwCleaner работал в течение 11 с лишним минут, показывая Cleaning in progress и Threats removed: 0, после чего я выключил компьютер кнопкой на корпусе (софт-перезагрузка не сработала), и повторил процедуру. Логи прилагаю. Кроме IE и Chrome у меня имеются портативные версии Firefox, YandexBrowser и Opera. Не нужно ли их как-то охватить сканированием и чисткой?
 

Вложения

  • AdwCleaner[S06].txt
    2 KB · Просмотры: 2
  • AdwCleaner[S05].txt
    2 KB · Просмотры: 0
Это все, что у меня имеется в папке Logs AdwCleaner'a. Получается, что ему не удается удалить ни одну из угроз, он зависает в попытке их удаления и не формирует никакого лога очистки.
 
Запускаете правой кнопкой от имени администратора? Антивирус отключаете?
 
Да - по этой-то причине и повторил процедуру, так как не был уверен, что не забыл запустить AdwCleaner через правую кнопку.
 
Хорошо, делайте логи FRST (вторая часть сообщения №10)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу