• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Много различной заразы на компьютере...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
Здравствуйте! Пользователь компьютера - 12-тилетний мальчик, естественно, плохо разбирающийся в компьютерах. Просто очень много всякой "всячины" на компьютере... Логи во вложении.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Не кисло, даже на первый взгляд.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe');
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe');
 StopService('CltMngSvc');
 QuarantineFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe', '');
 QuarantineFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe', '');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll', '');
 QuarantineFile('c:\progra~2\searchprotect\searchprotect\bin\spvc32loader.dll', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_20107\s_inst.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_2149\s_inst.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_4396\s_inst.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AXCTSUXN\Skype_1.4.0.84.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Local\Temp\IS4563~1\1131615_stp\downloader.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Local\Temp\IS4563~1\1131615_stp', '');
 QuarantineFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YV3Y2JT2\wmp11-windowsxp-x86-RU-RU.exe', '');
 QuarantineFile('C:\Windows\system32\hfpapi.dll','');
 QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
 QuarantineFile('C:\ProgramData\IePluginService\PluginService.exe','');
 QuarantineFile('C:\ProgramData\WPM\wprotectmanager.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\VOPackage\VOsrv.exe','');
 QuarantineFile('C:\Users\Slava\appdata\roaming\vopackage\vosrv.exe','');
 DeleteFile('C:\Users\Slava\appdata\roaming\vopackage\vosrv.exe','32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\VOPackage\VOsrv.exe','32');
 DeleteFile('C:\ProgramData\WPM\wprotectmanager.exe','32');
 DeleteFile('C:\ProgramData\IePluginService\PluginService.exe','32');
 DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
 DeleteFile('C:\Windows\system32\hfpapi.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_20107', '64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_2149', '64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_4396', '64');
 DeleteFile('C:\Windows\system32\Tasks\{17628967-DE3A-4367-BA43-1B5BC90B7EF5}', '64');
 DeleteFile('C:\Windows\system32\Tasks\{BC309B59-6BBF-404E-B4B5-696E31460851}', '64');
 DeleteFile('C:\Windows\system32\Tasks\{BC309B59-6BBF-404E-B4B5-696E31460851}', '64');
 DeleteFile('C:\Windows\system32\Tasks\{C61FF58E-C37E-45B3-947E-C87432000C3E}', '64');
 DeleteFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe', '32');
 DeleteFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe', '32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll', '32');
 DeleteFile('c:\progra~2\searchprotect\searchprotect\bin\spvc32loader.dll', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_20107\s_inst.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_2149\s_inst.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_4396\s_inst.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AXCTSUXN\Skype_1.4.0.84.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Local\Temp\IS4563~1\1131615_stp\downloader.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Local\Temp\IS4563~1\1131615_stp', '32');
 DeleteFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YV3Y2JT2\wmp11-windowsxp-x86-RU-RU.exe', '32');
 QuarantineFileF('C:\PROGRA~2\SearchProtect', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Slava\AppData\Roaming\newSI_20107\', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Slava\AppData\Roaming\newSI_2149\', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Slava\AppData\Roaming\newSI_4396\', '*', true, '', 0 ,0);
 DeleteFileMask('C:\PROGRA~2\SearchProtect', '*', true);
 DeleteFileMask('C:\Users\Slava\AppData\Roaming\newSI_20107\', '*', true);
 DeleteFileMask('C:\Users\Slava\AppData\Roaming\newSI_2149\', '*', true);
 DeleteFileMask('C:\Users\Slava\AppData\Roaming\newSI_4396\', '*', true);
 DeleteDirectory('C:\PROGRA~2\SearchProtect');
 DeleteDirectory('C:\Users\Slava\AppData\Roaming\newSI_20107\');
 DeleteDirectory('C:\Users\Slava\AppData\Roaming\newSI_2149\');
 DeleteDirectory('C:\Users\Slava\AppData\Roaming\newSI_4396\');
 DeleteService('CltMngSvc');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Подготовьте лог AdwCleaner

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
Скрипт выполнил. Запрошенные логи во вложении. Карантин выслал на почту, т.к. он занял более 10 Мб. После перезагрузки CIS нашел и уничтожил несколько зловредов: папка нахождения - профиль пользователя, временные файлы интернета. Также система дает возможность создать нового пользователя, но невозможно под ним зайти - написано, что некая служба не пускает... Возможно, служба заражена?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Возможно, служба заражена?
Отключена/удалена/кто его знает - нужно смотреть в панели управления. На какую именно?

Удаляй, все, что нашел MBAM, после все, что нашел AdwCleaner. И вот только после всех действий нужен свежий лог автологера.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
+ перед этим деинсталируйте через установку и удаление программ
Код:
BlockAndSurf-->C:\Program Files (x86)\ver1BlockAndSurf\Uninstall.exe
Search Protect-->"C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
Trust Media Viewer-->C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3586\uninstall.exe
если есть другие незнакомые/ не используемые программы, то также деинсталируйте.

+ удалите файлы из карантина комода.
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
если есть другие незнакомые/ не используемые программы, то также деинсталируйте.

+ удалите файлы из карантина комода.
Файлы из карантина COMODO удалил, часть программ из "Программы и компоненты" удалил (можно сказать, что они уже были удалены, т.к. система предложила просто убрать из "программы и компоненты" эти элементы);
Вышеперечисленных программ (BlockandSurf, Search Protect, Trust Media Viewer) ни в "Программы и компоненты", ни по пути, где они установлены, не обнаружил...
Все найденное MBAM удалил;
Все найденное AdwCleaner'ом тоже;
Лог Autologger'a во вложении

По поводу службы: "...Служба "Служба профилей пользователей" препятствует входу в систему. Невозможно загрузить профиль пользователя..."
Во время сбора логов при запуске Google Chrom'a вылезло окошко: "...http://google.ru приложение не найдено..."
Так примерно в час (полчаса, может при обращении к какому-либо сайту) вылезает такое окошко: "...hттp://intriend.net приложение не найдено..."
 

Вложения

Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
SetServiceStart('storegidfilter', 4);
 QuarantineFile('c:\windows\system32\tiltwheelmouse.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_20107\s_inst.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_2149\s_inst.exe','');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('storegidfilter.sys','');
 QuarantineFile('C:\Program Files (x86)\UpdateService\UpdateService.exe','');
 QuarantineFile('C:\Windows\system32\Drivers\webinstrNew.sys','');
 QuarantineFile('C:\Windows\System32\drivers\bfonjlw.sys','');
 QuarantineFile('C:\Windows\screentk.sys','');
 DeleteFile('C:\Windows\screentk.sys','32');
 DeleteFile('C:\Windows\System32\drivers\bfonjlw.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\webinstrNew.sys','32');
 DeleteFile('storegidfilter.sys','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_20107\s_inst.exe','32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_2149.job','64');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','64');
 DeleteFile('C:\Users\Slava\AppData\Roaming\Dorrible\Ribble\d.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Ribble','64');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Users\Slava\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{05190403-28F0-4810-9F9A-A3866DEA9DE9}','64');
 DeleteFile('C:\Windows\system32\Tasks\{070BE659-4CD6-477D-A8CE-0581D70CB8B4}','64');
 DeleteFile('C:\Windows\system32\Tasks\{13FB5E10-2733-499D-A319-5FA4401EE00E}','64');
 DeleteService('screentk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect Tray','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect','command');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы
Подготовьте лог UVS
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
KINOROOM BROWSER - что это, насколько нужно?

Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.84.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
OFFSGNSAVE
breg
delref %SystemDrive%\USERS\SLAVA\APPDATA\LOCAL\41\A18467.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UPDATESERVICE\UPDATESERVICE.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}
; C:\USERS\SLAVA\DESKTOP\НОВАЯ ПАПКА\ADOBE\INSTALL_FLASH_PLAYER_12_PLUGIN.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 8 Trojan.DownLoader11.8869 [DrWeb]

zoo %SystemDrive%\USERS\SLAVA\DESKTOP\НОВАЯ ПАПКА\ADOBE\INSTALL_FLASH_PLAYER_12_PLUGIN.EXE
zoo %SystemDrive%\PROGRAMDATA\KINOROOM BROWSER\KBROWSER-UPDATER-UTILITY.EXE
delall %SystemDrive%\PROGRAMDATA\KINOROOM BROWSER\KBROWSER-UPDATER-UTILITY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 12.0\IE\X86\ADOBEFLASH32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 12.0\IE\X64\ADOBEFLASH64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\MEDIAGETTOOLBAR TOOLBAR\PLUGINADDON.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE794\IE\RICHMEDIAVIEWV1RELEASE794.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\DOLKARUIEPLUGIN\TINYBHO.DLL
exec32 "C:\Program Files (x86)\PCData\uninstaller.exe"
delall %SystemDrive%\USERS\SLAVA\PICTURES\EVGEXACRAFT.EXE
bl 7810A1F6FF1C5F0088CA8B566B7B07F9 83376
; C:\USERS\SLAVA\DESKTOP\НОВАЯ ПАПКА\KINOROOM BROWSER\LAUNCHER.EXE
zoo %SystemDrive%\USERS\SLAVA\DESKTOP\НОВАЯ ПАПКА\KINOROOM BROWSER\LAUNCHER.EXE
bl 66908A0D68E0020526083DB212085CD4 65598
; C:\USERS\SLAVA\DESKTOP\GARBAGE_DAY_V0.01_SETUP.EXE
zoo %SystemDrive%\USERS\SLAVA\DESKTOP\GARBAGE_DAY_V0.01_SETUP.EXE
bl F90FDBE46E0262EFDC7A561180AB6759 17058335
; C:\PROGRAM FILES (X86)\PCDATA\STARTHELP.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\PCDATA\STARTHELP.EXE
bl 4B3B1375F7400CC6BA3FD729B54A4EA9 90687
; C:\PROGRAM FILES (X86)\IMAGE RESIZER\UNINSTALL.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\IMAGE RESIZER\UNINSTALL.EXE
bl C73121FAE7F4F4ACD1D44DFED49CFC54 59666
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 59 Trojan.DownLoader11.8869 [DrWeb]

chklst
delvir

deltmp
czoo
restart
После выполнения скрипта компьютер перезагрузится.
Что еще из проблем осталось?
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
KINOROOM BROWSER точно не нужен. Карантин:
http://my-files.ru/vgzjdy

При запуске яндекс-браузера его ярлык (который появляется на панели внизу) без пиктограммы, пикторграмма просто белая, как неизвестный файл...
Служба также препятствует входу в систему любому другому пользователю, кроме Slava
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
KINOROOM BROWSER точно не нужен
Удаляй.
При запуске яндекс-браузера его ярлык (который появляется на панели внизу) без пиктограммы, пикторграмма просто белая, как неизвестный файл...
Необходимо пересоздать ярлык.
Служба также препятствует входу в систему любому другому пользователю,
http://support.microsoft.com/kb/947215/ru
http://forum.oszone.net/thread-237833.html - посмотри, возможно твой случай.


Что вообще сейчас с системой?
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
+ - выполните такой скрипт в AVZ
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Users\Slava\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\899b607c2b0b4092\Yandex.lnk','');
QuarantineFile('C:\Users\Slava\Desktop\Новая папка\Mozilla Firefox\firefox.url','');
QuarantineFile('C:\Users\Slava\YandexDisk\Фотокамера\2013-12-13 10-23-48.url','');
QuarantineFile('C:\Users\Slava\YandexDisk\Фотокамера.url','');
DeleteFile('C:\Users\Slava\Desktop\Новая папка\Mozilla Firefox\firefox.url','');
DeleteFile('C:\Users\Slava\YandexDisk\Фотокамера\2013-12-13 10-23-48.url','');
DeleteFile('C:\Users\Slava\YandexDisk\Фотокамера.url','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

+

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:


Код:
C:\Users\Slava\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\899b607c2b0b4092\Yandex.lnk
C:\Users\Slava\Desktop\Новая папка\Mozilla Firefox\firefox.url
C:\Users\Slava\YandexDisk\Фотокамера\2013-12-13 10-23-48.url
C:\Users\Slava\YandexDisk\Фотокамера.url
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
Что вообще сейчас с системой?
В общем стало лучше... Активного заражения не видно... На неделе не мог заняться - на работе нет интернета, а возвращался в 9-10... Сегодня продолжу, все попробую.

За
отдельное спасибо, не догадался (не хватило сил и мозгов) найти самостоятельно...
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
408
Скрипт выполнил. Карантин отправил. Отчет о работе ClearLNK во вложении.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Что с проблемами?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу