Закрыто Laserverdadomaina/Gerilla/Zaxar/Реклама

Статус
В этой теме нельзя размещать новые ответы.

Zkalashnikov

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#1
Здравствуйте! Начну по порядку, опишу действия, что предшествовали проблеме: я искал драйвера для старой сетевой карты фирмы Cnet, зайдя на одну из первых ссылок, выданных гуглом скачал и запустил exe-файл, после чего драйверов так и не появилось, однако компьютер начал "напрягаться" в разы больше обычного, а в браузере начали открываться ссылки на всякого рода рекламу, причем по 3-5 штук в минуту. Адрес, с которого перенаправляет на рекламу "laserverdadomaina", как-то так. В "программых и компонентах" появилось много новых непонятных мне приложений, я естественно пытался их удалить, но они возвращались. Так же на рабочем столе возникли непонятные иконки, я их не трогал и не открывал, они рекламного характера. Мною была скачана последняя версия CureIt, несколько раз провёл абсолютно полную проверку, нашло порядка 140 вирусов, я применил к ним действия, но это абсолютно не помогло. Последующие проверки Cureit ни к чему не привели. Далее перестали открываться страницы антивирусов, а клавиши переназначелись местами и напечатать что-то было невозможным, как и скачать антивирус. Зайдя в безопасном режиме я скачал последнюю версию AVZ и провёл, опять же, полную проверку, он что-то нашёл, но ссылки всё ещё открывались. Затем мне удалось скачать Adwcleaner, он нашёл проблемы, я нажал вылечить и (О ЧУДО!) ссылки перестали открываться сами по себе, но проблемы остались: при загрузке висит куча непонятных процессов, компьютер явно активно что-то пытается делать (громко работает), а в довершении всего я не смог зайти в свой "контакт", как я понимаю там сменили пароль, удалили все записи и фото. Поэтому прикрепляю логи и очень надеюсь на Вашу помощь, любые вопросы, замечания и предложения. Заранее большое спасибо.
Если я вдруг неправильно назвал тему - простите, там попытался привести все известные мне названия ПО, что пытается мне навредить в данный момент, первое это сайт с которого направляет на рекламу, второе название процесса, который постоянно ведёт какую-то установку (не в безопасном режиме), третье название одной из программ, появившихся в программах и компонентах.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,345
Симпатии
1,599
Баллы
433
#2
Здравствуйте!

В обычном (не в безопасном) режиме Автологер не работает?

Проведите лечение с помощью KVRT, затем в обычном режиме соберите новый CollectionLog и прикрепите.
 

Zkalashnikov

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#3
Здравствуйте!

В обычном (не в безопасном) режиме Автологер не работает?

Проведите лечение с помощью KVRT, затем в обычном режиме соберите новый CollectionLog и прикрепите.
Не работала, да, пришлось зайти в безопасный. Делаю всё по Вашей инструкции, результаты прикреплю в ближайшее время.
Есть ещё вопрос, возможно не к Вам и если это офф-топ - прошу прощения, но кто-то получил доступ к моей соц. сети, успел поменять там имя и фамилию, я чудом сейчас восстановил доступ с помощью телефона, но получается, что у злоумышленника уже есть пароли от почты, соц. сетей и сайтов, автозаполнения форм и тд? И соответственно нужно в ближайшее время все эти пароли сменить, сперва, естественно, полностью избавившись от вирусов?

Перезагружаю компьютер после КВРТ и приложу логи.
 

Zkalashnikov

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#4
А вот и обещанные логи
Здравствуйте!

В обычном (не в безопасном) режиме Автологер не работает?

Проведите лечение с помощью KVRT, затем в обычном режиме соберите новый CollectionLog и прикрепите.
А вот и обещанные логи, я извиняюсь, что не сразу, попутно делаю несколько дел.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,345
Симпатии
1,599
Баллы
433
#5
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\zelimk~1\appdata\local\temp\is-0spu4.tmp\lsentzlmbpi.tmp');
 TerminateProcessByName('c:\users\zelimk~1\appdata\local\temp\is-0spu5.tmp\vbjlcfnvjdv.tmp');
 TerminateProcessByName('c:\users\zelimkhan\appdata\roaming\q2d1amlqxan\lsentzlmbpi.exe');
 TerminateProcessByName('c:\users\zelimkhan\appdata\roaming\wcyjlsypc3w\vbjlcfnvjdv.exe');
 StopService('OTQ5ZWYyNGQ4MW');
 StopService('ZGI4NTRlNWEwMWRjNj');
 QuarantineFile('C:\Program Files (x86)\gijWsqkGhkvLrvPBaKR\ThodTpx.dll', '');
 QuarantineFile('C:\Program Files (x86)\IMLILuQeywSdC\NbSDyQo.dll', '');
 QuarantineFile('C:\Program Files (x86)\rQZHqjYwGnVU2\MNUaDBeJObdCh.dll', '');
 QuarantineFile('C:\Program Files (x86)\RYbKbGhHU\NaBJbC.dll', '');
 QuarantineFile('C:\Program Files\M2JmMDNi\MjY0MjQ.exe', '');
 QuarantineFile('c:\users\zelimk~1\appdata\local\temp\is-0spu4.tmp\lsentzlmbpi.tmp', '');
 QuarantineFile('c:\users\zelimk~1\appdata\local\temp\is-0spu5.tmp\vbjlcfnvjdv.tmp', '');
 QuarantineFile('C:\Users\ZELIMK~1\AppData\Local\Temp\is-9CIGB.tmp\idp.dll', '');
 QuarantineFile('C:\Users\ZELIMK~1\AppData\Local\Temp\is-OEIC3.tmp\idp.dll', '');
 QuarantineFile('c:\users\zelimkhan\appdata\roaming\q2d1amlqxan\lsentzlmbpi.exe', '');
 QuarantineFile('C:\Users\Zelimkhan\AppData\Roaming\Software Updater\SoftwareUpdater.exe', '');
 QuarantineFile('c:\users\zelimkhan\appdata\roaming\wcyjlsypc3w\vbjlcfnvjdv.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\ZGI4NTRlNWEwMWRjNj.sys', '');
 QuarantineFile('C:\Windows\tkamrmzzvxorrcof.tkam', '');
 ExecuteFile('schtasks.exe', '/delete /TN "AqaFKiSozIReDQd2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "bNTkqogSBVZrJl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "JiPoQKMERCBGLFDjImr2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "YetfeHlQSdYWFPexh2" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\gijWsqkGhkvLrvPBaKR\ThodTpx.dll', '64');
 DeleteFile('C:\Program Files (x86)\IMLILuQeywSdC\NbSDyQo.dll', '64');
 DeleteFile('C:\Program Files (x86)\rQZHqjYwGnVU2\MNUaDBeJObdCh.dll', '64');
 DeleteFile('C:\Program Files (x86)\RYbKbGhHU\NaBJbC.dll', '64');
 DeleteFile('C:\Program Files\M2JmMDNi\MjY0MjQ.exe', '64');
 DeleteFile('c:\users\zelimk~1\appdata\local\temp\is-0spu4.tmp\lsentzlmbpi.tmp', '');
 DeleteFile('c:\users\zelimk~1\appdata\local\temp\is-0spu5.tmp\vbjlcfnvjdv.tmp', '');
 DeleteFile('C:\Users\ZELIMK~1\AppData\Local\Temp\is-9CIGB.tmp\idp.dll', '');
 DeleteFile('C:\Users\ZELIMK~1\AppData\Local\Temp\is-OEIC3.tmp\idp.dll', '');
 DeleteFile('C:\Users\Zelimkhan\AppData\Roaming\q2d1amlqxan\lsentzlmbpi.exe', '32');
 DeleteFile('C:\Users\Zelimkhan\AppData\Roaming\q2d1amlqxan\lsentzlmbpi.exe', '64');
 DeleteFile('C:\Users\Zelimkhan\AppData\Roaming\Software Updater\SoftwareUpdater.exe', '64');
 DeleteFile('C:\Users\Zelimkhan\AppData\Roaming\wcyjlsypc3w\vbjlcfnvjdv.exe', '32');
 DeleteFile('C:\Users\Zelimkhan\AppData\Roaming\wcyjlsypc3w\vbjlcfnvjdv.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\ZGI4NTRlNWEwMWRjNj.sys', '64');
 DeleteFile('C:\Windows\tkamrmzzvxorrcof.tkam', '64');
 DeleteService('M2JmMDNi');
 DeleteService('OTQ5ZWYyNGQ4MW');
 DeleteService('SoftwareUpdater');
 DeleteService('ZGI4NTRlNWEwMWRjNj');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2046829');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5886468');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

Zkalashnikov

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Здравствуйте! Спасибо за помощь! Следовал Вашей инструкции, сделал всё, как описано. Воспользовался формой отправки карантина. :)
Проблемы уже не беспокоят, во всяком случае я их не замечаю.
Вот свежий Collection Log.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,345
Симпатии
1,599
Баллы
433
#7
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Zkalashnikov

Новый пользователь
Сообщения
5
Симпатии
0
Баллы
1
#8
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Вот лог, делал всё точно по Вашей инструкции.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,612
Симпатии
12,661
Баллы
2,203
#9
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,345
Симпатии
1,599
Баллы
433
#10
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу