Решена ADware и другая гадость

Статус
В этой теме нельзя размещать новые ответы.

puertorikanez

Постоянный участник
Сообщения
189
Реакции
18
открытие браузера с левыми страницами, переход на левые сайты, и что то кроме адвари сидит, мне кажется логи до конца не собираются происходит перезагрузка
 

Вложения

  • CollectionLog-2017.07.18-00.51.zip
    60.7 KB · Просмотры: 1
Здравствуйте!

Действительно, архив неполный.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
 StopService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
 StopService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
 StopService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
 StopService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
 StopService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
 StopService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
 StopService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
 StopService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
 StopService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
 StopService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
 StopService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
 StopService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
 StopService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
 StopService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
 StopService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
 StopService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
 StopService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
 StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
 StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
 StopService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
 StopService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
 StopService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
 StopService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
 StopService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
 StopService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
 StopService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
 StopService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
 StopService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
 StopService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
 StopService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
 StopService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
 StopService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
 StopService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
 QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '32');
 DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
 DeleteService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
 DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
 DeleteService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
 DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
 DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
 DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
 DeleteService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
 DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
 DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
 DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
 DeleteService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
 DeleteService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
 DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
 DeleteService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
 DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
 DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
 DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
 DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
 DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
 DeleteService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
 DeleteService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
 DeleteService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
 DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
 DeleteService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
 DeleteService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
 DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
 DeleteService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
 DeleteService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
 DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
 DeleteService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
 DeleteService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
 DeleteService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
 DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
карантин отправил с помощью формы, при повторном сканировании системы произошла перезагрузка, лог не создался
 
Попробуем так:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
при запуске HiJackThis происходит перезагрукза
 

Вложения

  • CollectionLog-2017.07.18-14.07.zip
    64.2 KB · Просмотры: 4
Понятно, делайте AdwCleaner лог.
 
AdwCleaner, тоже вырубается(на сканировании браузеров).. один раз даже на английском запустился.
 
Последнее редактирование:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
отладку клинера не надо прикрепить?
вроде получился, но опять все закончилось перезагрузкой
 

Вложения

  • XXX-ПК_2017-07-18_15-18-49.7z
    32 байт · Просмотры: 0
отладку клинера не надо прикрепить?
Если есть, прикрепите.
опять все закончилось перезагрузкой
Да, слишком малый размер.

Соберите этот лог таким способом: Создание образа диска Windows PE&uVS для сбора логов с неактивной системы.
 
при сканировании в свойствах поставил отладка, но знаю поможет или нет сейчас
вот что то получилось, но опять таки перезагрузкой, образ смогу только вечером сделать, пока удалил некоторое постоннее ПО
получился лог клинера
 

Вложения

  • AdwCleaner_Debug.log
    26.6 KB · Просмотры: 3
  • XXX-ПК_2017-07-18_16-13-15.7z
    599.3 KB · Просмотры: 4
  • AdwCleaner[S0].txt
    8.3 KB · Просмотры: 1
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    
    ; %SystemDrive%\FIREFOX.BAT
    bl 7544B2999EED394A58F0A10DBD904036 134
    zoo %SystemDrive%\FIREFOX.BAT
    del %SystemDrive%\FIREFOX.BAT
    zoo %SystemDrive%\IEXPLORE.BAT
    del %SystemDrive%\IEXPLORE.BAT
    ; %SystemDrive%\OPERA.BAT
    bl AD7E05570147DD94F5114BD9A2A33DBD 112
    zoo %SystemDrive%\OPERA.BAT
    del %SystemDrive%\OPERA.BAT
    ; %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    bl DFA79CCDFBE870C9574A7981BF32F21A 149
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    del %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    ; C:\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE
    bl 483FCF432217D71544246AA760D98CDC 42687
    addsgn 1B457B67AA661C700BD4AEB164C8120525F708F489F64F7A85C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 12 Trojan.Win32.Genome.amzxw [Kaspersky] 7
    ; C:\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\LSASS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\LSASS.EXE
    ; C:\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    zoo %SystemDrive%\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\XXX\APPDATA\LOCAL\SMSS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SMSS.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE
    delref %SystemDrive%\ТРИ БОГАТЫРЯ И ШАМАХАНСКАЯ ЦАРИЦА\TRYBOG.EXE
    chklst
    delvir
    deltmp
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


После подготовьте лог автлогера, должен подготовиться без проблем. Обратите внимание, что запуск браузеров через ярлыки будет невозможно т.к. ярлыки нужно исправить ClearLNK - удаление параметров запуска у ярлыков
 
Последнее редактирование:
Не страшно. Продолжайте.
 
  • Like
Реакции: akok
неудобная какая то версия клинера стала, не видно где от майла или там ничего не было
Zoo отправил на почту, так как по форме не дает
 

Вложения

  • AdwCleaner[C0].txt
    7.2 KB · Просмотры: 1
  • CollectionLog-2017.07.18-22.31.zip
    72 KB · Просмотры: 2
  • ClearLNK-18.07.2017_22-34.log
    7.9 KB · Просмотры: 1
не видно где от майла или там ничего не было
Наоборот, сейчас все элемент от Mail.ru сгруппированы отдельно.
Дампы падения AdwCleaner-а пришлите, для этого

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
 QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '');
 QuarantineFile('C:\Users\xxx\AppData\Local\smss.exe', '');
 DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '32');
 DeleteFile('C:\Users\xxx\AppData\Local\smss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command');
 DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupfolder: C:^Users^xxx^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif - C:\Windows\pss\Empty.pif.Startup (2017/07/18)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
А вот теперь давайте собирать камни, что еще из проблем наблюдается?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу