Решена JS/ProxyChanger.CW

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Filary, 23 дек 2016.

  1. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте! По глупости повелся. Нужно было скачать торрент, скачал загрузчик с которым это все и началось:
    Пытается постоянно зайти по ссылке:
    "ttp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094"
    Но NOD ловит, вот из файлового журнала NOD:
    24.12.2016 1:16:47;Защита в режиме реального времени;файл;C:\Users\Filary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BYA3ZDOS\wpad[1].dat;JS/ProxyChanger.CW троянская программа;очищен удалением;HOMEFILARY\Filary;Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_24_0_0_186.exe (880B7DCAFC2CE1328CAF05D86328C37A84E2D513).;42BD3C3D5A391E10531A7BE9B0FCD73B926E74EC;24.12.2016 1:13:26

    Пытался найти через антивирус Malwarebytes, он много чего нашел. но проблему не решил.
    Логи прилагаю.
     

    Вложения:

  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\program files\ubar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
     DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
     DeleteFileMask('c:\program files\ubar', '*', true);
     DeleteDirectory('c:\program files\ubar');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     DeleteService('UbarCalloutDriver');
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков.

    Подготовьте лог AdwCleaner.
     
    Filary нравится это.
  4. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Здравствуйте! Вот логи:
     

    Вложения:

  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Filary нравится это.
  6. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0

    Вложения:

  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
  8. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    shestale, На всякий еще AutoLogger скину.
     

    Вложения:

  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    AutoConfigURL: [S-1-5-21-2977579384-1132690053-4212917349-1000] => hxxp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094
    ManualProxies: 0hxxp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094
    CHR HKU\S-1-5-21-2977579384-1132690053-4212917349-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
    EmptyTemp:
    Reboot:
    end
    +
    Почистите кэш и куки в браузерах.
     
    Filary нравится это.
  10. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    shestale,
    Почистил кеш и куки.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,5 КБ
      Просмотров:
      3
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Что с проблемой?
     
    Filary нравится это.
  12. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    shestale, Извините, пришлось уехать. Вроде проблема исчезла. Как приеду проверю хорошо и отпишу.
     
  13. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Ок.
    +
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
    Filary нравится это.
  14. Filary
    Оффлайн

    Filary Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    shestale,
    Проблему решили, спасибо вам огромное! Если честно был удивлен что есть такой сайт помощи.
    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 24.12.2016 18:36:28
    Path starting: C:\Users\Filary\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Filary
    VersionXML: 3.66is-21.12.2016
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 24.08.2016 13:58:05
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: E:\Program\Mazilla firefox\firefox.exe
    Системный диск: C: ФС: [NTFS] Емкость: [111.8 Гб] Занято: [49.6 Гб] Свободно: [62.2 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.18537
    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    Запрос на повышение прав для обычных пользователей отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2016-12-23 05:46:54
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба работает
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2013 x86 v.15.0.4569.1506
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    ESET Smart Security 9.0.408.1 (выключен и устарел)
    ---------------------------- [ Firewall_WMI ] -----------------------------
    Персональный файервол ESET (включен)
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    ESET Smart Security 9.0.408.1 (выключен и устарел)
    Windows Defender (включен и обновлен)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    ESET Smart Security v.9.0.386.1
    --------------------------- [ OtherUtilities ] ----------------------------
    VLC media player v.2.2.4
    WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.30 v.7.30.105
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^
    Java SE Development Kit 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jdk-8u112-windows-x64.exe)^
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player 24 NPAPI v.24.0.0.186
    ------------------------------- [ Browser ] -------------------------------
    Mozilla Firefox 50.1.0 (x86 ru) v.50.1.0
    --------------------------- [ RunningProcess ] ----------------------------
    E:\Program\Mazilla firefox\firefox.exe v.50.1.0.6186
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    C:\Program Files\ESET\ESET Smart Security\egui.exe v.9.0.407.0
    ESET Service (ekrn) - Служба работает
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe v.9.0.407.1
    Защитник Windows (WinDefend) - Служба работает
    ----------------------------- [ End of Log ] ------------------------------
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.667
    Filary нравится это.