Решена JS/ProxyChanger.CW

Filary

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте! По глупости повелся. Нужно было скачать торрент, скачал загрузчик с которым это все и началось:
Пытается постоянно зайти по ссылке:
"ttp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094"
Но NOD ловит, вот из файлового журнала NOD:
24.12.2016 1:16:47;Защита в режиме реального времени;файл;C:\Users\Filary\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BYA3ZDOS\wpad[1].dat;JS/ProxyChanger.CW троянская программа;очищен удалением;HOMEFILARY\Filary;Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_24_0_0_186.exe (880B7DCAFC2CE1328CAF05D86328C37A84E2D513).;42BD3C3D5A391E10531A7BE9B0FCD73B926E74EC;24.12.2016 1:13:26

Пытался найти через антивирус Malwarebytes, он много чего нашел. но проблему не решил.
Логи прилагаю.
 

Вложения

  • CollectionLog-2016.12.24-01.15.zip
    66.5 KB · Просмотры: 6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files\ubar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
 DeleteFileMask('c:\program files\ubar', '*', true);
 DeleteDirectory('c:\program files\ubar');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('UbarCalloutDriver');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.
 
Здравствуйте! Вот логи:
 

Вложения

  • ClearLNK-24.12.2016_12-49.log
    2 KB · Просмотры: 1
  • AdwCleaner[S0].txt
    3.4 KB · Просмотры: 2
shestale, На всякий еще AutoLogger скину.
 

Вложения

  • Addition.txt
    25.2 KB · Просмотры: 3
  • FRST.txt
    72.6 KB · Просмотры: 3
  • Shortcut.txt
    67.2 KB · Просмотры: 0
  • CollectionLog-2016.12.24-14.26.zip
    64.1 KB · Просмотры: 1
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
AutoConfigURL: [S-1-5-21-2977579384-1132690053-4212917349-1000] => hxxp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094
ManualProxies: 0hxxp://noblocking.net/wpad.dat?6ab90815a5a19eb27063c694628561c922620094
CHR HKU\S-1-5-21-2977579384-1132690053-4212917349-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
 
shestale,
Почистил кеш и куки.
 

Вложения

  • Fixlog.txt
    2.5 KB · Просмотры: 3
Что с проблемой?
 
shestale, Извините, пришлось уехать. Вроде проблема исчезла. Как приеду проверю хорошо и отпишу.
 
Ок.
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
shestale,
Проблему решили, спасибо вам огромное! Если честно был удивлен что есть такой сайт помощи.
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 24.12.2016 18:36:28
Path starting: C:\Users\Filary\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Filary
VersionXML: 3.66is-21.12.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 24.08.2016 13:58:05
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: E:\Program\Mazilla firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.8 Гб] Занято: [49.6 Гб] Свободно: [62.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18537
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-12-23 05:46:54
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x86 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
ESET Smart Security 9.0.408.1 (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Персональный файервол ESET (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
ESET Smart Security 9.0.408.1 (выключен и устарел)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.9.0.386.1
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.2.2.4
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^
Java SE Development Kit 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u112-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.186
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 50.1.0 (x86 ru) v.50.1.0
--------------------------- [ RunningProcess ] ----------------------------
E:\Program\Mazilla firefox\firefox.exe v.50.1.0.6186
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Smart Security\egui.exe v.9.0.407.0
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET Smart Security\ekrn.exe v.9.0.407.1
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 
Назад
Сверху Снизу