• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена CMD выходит спустя 3-4 минуты после старта, реклама в браузере

Статус
В этой теме нельзя размещать новые ответы.

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
2 CMD выходит спустя 3-4 минут после старта системы, когда закрываешь, больше не появляется, реклама в браузере Пользуюсь Firefox v 57.0.3.
Лог hijackthis
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
SpyHunter, Ashampoo Driver Updater, Driver Booster, RegOrganizer деинсталируйте
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Frizz\AppData\Local\AzYmyFXGOoOLh.bat', '');
 QuarantineFile('C:\WINDOWS\oiWkUEOY.bat', '');
 QuarantineFile('C:\Program Files (x86)\TzYLeMAa.bat', '');
 QuarantineFile('C:\Program Files (x86)\FIuEgkQd.bat', '');
 QuarantineFile('C:\Users\Frizz\iueiujBh.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\cOMxx.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "BxsDERWUj" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "OiaECIEZLI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "qHUeXWPEvEOUn" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "yAINYoFZb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FaetuAwG" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "iyaio" /F', 0, 15000, true);
 DeleteFile('C:\Users\Frizz\AppData\Local\AzYmyFXGOoOLh.bat', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\cOMxx.exe','32');
 DeleteFile('C:\Users\Frizz\iueiujBh.exe','32');
 DeleteFile('C:\WINDOWS\oiWkUEOY.bat', '32');
 DeleteFile('C:\Program Files (x86)\TzYLeMAa.bat', '32');
 DeleteFile('C:\Program Files (x86)\FIuEgkQd.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O22 - Task: BxsDERWUj - C:\Users\Frizz\AppData\Local\AzYmyFXGOoOLh.bat
O22 - Task: FaetuAwG - C:\Program Files (x86)\Common Files\cOMxx.exe /i http://lurpclubs.net/dmyjnjxuaxtb.kkp /q
O22 - Task: bltopncomhohoj - D:\Program Files (x86)\Mozilla Firefox\firefox.exe bltopn.com/hohoj
O22 - Task: iyaio - C:\Users\Frizz\iueiujBh.exe /i http://lurpclubs.net/ktstprvswdre.ddg /q
O22 - Task: qHUeXWPEvEOUn - C:\Program Files (x86)\TzYLeMAa.bat
O22 - Task: yAINYoFZb - C:\Program Files (x86)\FIuEgkQd.bat
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Спасибо! После перезагрузки проблема ушла, выполнил все действия, вот конечный логер
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Всё сделал, virusinfo файл залил по ссылке.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
По возможности исправьте
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
[ OtherUtilities ] ----------------------------
WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 64-bit fixes Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
Adobe Reader XI (11.0.14) - Russian v.11.0.14 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Спасибо огромное! Рекомендации выполнены, софт обновлён, всплывающих окон браузера и cmd после нескольких перезогрузок не выявленно. Программы антишпионы удалены.
П.С. Скачал русификатор с левого сайта...
 
  • Like
Реакции: akok

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Кстати до этого антивирус при использовании браузера сильно ругался и говорил что обнаружен Trojan:Win32/Brocoiner - но проблем со всплыванием окон до этого не было, думал что microsoft что то по поводу "левого" софта подкрутили, что-бы использовать их ПО было невыносимо со сторонними программами. Dr. Web Curelt! и другие при полной проверке ничего не выявляли.
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
при использовании браузера сильно ругался и говорил что обнаружен Trojan:Win32/Brocoiner
На каком-то конкретном сайте? Сейчас админы часто страдают тем, что вместо рекламы майнят на браузерах пользователей.
 

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Честно сказать, не помню, то ли торрент форум, то ли файлообменник, но там была ложная ссылка с рекламой казино и браузерное сообщение в окне, что-то типо ваш ПК использовался для добычи криптовалюты. И после этого при включёном браузере, абсолютно на любом сайте защитник windows чуть ли не каждую минуту ругался на этот троян в кэше браузера, куки чистил - без результатов.
 

akok

Команда форума
Администратор
Сообщения
17,671
Реакции
13,478
Баллы
2,203
Сейчас эта проблема наблюдается?
 

Frizzy

Новый пользователь
Сообщения
8
Реакции
2
Баллы
13
Спасибо! Проблем с реакцией антивируса тоже не стало - пишет что всё чисто! Огромное вам спасибо! Проблема решена, никаких симптомов проблемы не наблюдаю!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу