Решена Итоги логирования после настройки adw и online esset

[Wu-Tang]

логи сняты после adw и online esset.

 

[akok]

А симптомы какие?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

C:\Logs\Go.vbs и Object Browser - знакомо?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\com\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Logs\Go.vbs', '');
 QuarantineFile('C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe ', '');
 DeleteFile('C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe ');
 DeleteFile('C:\Users\com\AppData\Roaming\System\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "4de83ab9-8a57-40ae-a245-1e0486f80043-5_user.job" /F', 0, 15000, true);
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O22 - Task (Job): 4de83ab9-8a57-40ae-a245-1e0486f80043-5_user.job - C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe /rawdata=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

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Wu-Tang]

А симптомы какие?

товарищ ни на что не жаловался.
был майнер и svchost левый, я зачистил уже вроде.

C:\Logs\Go.vbs и Object Browser - знакомо?

в этой папке жил майнер, видимо остаток.

 

[Кирилл]

В расширениях браузеров присутствуют одновременно и веб фильтр авира, и разные баннерорезки - советую немного проредить, такое количество никчему.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll [2017-05-30] (AIMP DevTeam)
  ContextMenuHandlers1: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
  ContextMenuHandlers1_S-1-5-21-1052378253-1340381038-3687899826-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [150]
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
  AlternateDataStreams: C:\Users\com\Documents\пароли 22.12.2013.doc:KAVICHS [74]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [150]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [140]
  ShortcutTarget: explorer.lnk -> C:\Logs\Go.vbs (No File)
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-1052378253-1340381038-3687899826-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
  Folder:  C:\Users\com
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Эти файлы и папки, пользователи вам знакомы?

C:\Users\Все пользователи\mklddvci.gqu
C:\ProgramData\mklddvci.gqu
C:\Users\Все пользователи\mntemp
C:\ProgramData\mntemp

 

[regist]

>логи сняты после adw
Явно с ним поторопился. Ещё и MBAM запускал. +ещё хвосты и от ComboFix.
И перед созданием темы каждый раз надо скачивать свежий Автологер по ссылке из правил темы. Логи сделаны старым.

 

[Wu-Tang]

@Кирилл,
папки потер эти.
@regist,
mbam не запускал, combofix тоже.
autologger качал в день создания темы.

 

[regist]

>autologger качал в день создания темы.
Откуда? Ключевое надо качать по ссылке из правил раздела.
Эти логи опять старым собраны.

 

[Wu-Tang]

@regist,
с safezone и качал.
дай тогда линк.

 

[akok]

Вот он

 

[Wu-Tang]

снял логи

 

[akok]

В логе ничего интересного, кроме заблокированных сертификатов. Даю финальные рекомендации, раз проблем нет.
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Wu-Tang]

вот
UPLOAD.EE - virusinfo_auto_COM-__.zip - Download

 

[akok]

По возможности нужно исправить
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.17609 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.4.0.60310.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 60.0.2 (x64 ru) v.60.0.2 Внимание! Скачать обновления
Opera Stable 53.0.2907.99 v.53.0.2907.99 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.4.5.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

[Wu-Tang]

unity, кстати, идет в некоторых репаках - Интернет - WebFlashPack

 

[Severnyj]

unity, кстати, идет в некоторых репаках

И чем это противоречит фразе из лога секчека? Тем более, что больше не будет поддерживаться производителем

 

[Wu-Tang]

что-то не понял, те в этом случае можно оставлять его или нет?

 

[akok]

На ваше усмотрение, если используете оставляйте.

 

[Wu-Tang]

понял, ну, вроде все чисто теперь, спасибо.

 

[Dragokas]

Для улучшения наших утилит диагностики, пожалуйста, сделайте экспорт этого ключа реестра и прикрепите в архиве к своему сообщению:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

 

[Wu-Tang]

@Dragokas,