• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Ноутбук без выхода в интернет с несколькими разновидностями зловредов...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#1
Здравствуйте!

Имеется еще один ноутбук, у которого "на борту" не было антивируса и не отключили автозапуск. Перед тем, как сделать логи, не до конца, но просканировал его Kaspersky Live CD (было найдено около 5-ти разновидностей зловредов. Позже ноут был подключен к интернету (после установки антивируса и отключения автозапуска), но сайты даже с активным Wi-Fi-соединением не загружаются. Логи во вложении, просьба посмотреть...
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#2
Weatherbar удалите через Установку программ

Амиго, если сами не устанавливали, тоже удалите

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll','');
 QuarantineFile('C:\Users\Дом\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
 QuarantineFile('C:\Windows\System32\wlanmgr.dll','');
 QuarantineFile('C:\Windows\System32\KBDMAI.dll','');
 QuarantineFile('C:\Windows\System32\ir16_32.dll','');
 QuarantineFile('C:\Windows\System32\d3dadapter.dll','');
 QuarantineFile('F:\RECYCLER\e5188982.exe','');
 QuarantineFile('C:\Users\Дом\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\WINDOWS\configuration\configuration.exe','');
 DeleteFile('C:\WINDOWS\configuration\configuration.exe','32');
 DeleteFile('C:\Users\Дом\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('F:\RECYCLER\e5188982.exe','32');
 DeleteFile('C:\Windows\System32\d3dadapter.dll','32');
 DeleteFile('C:\Windows\System32\ir16_32.dll','32');
 DeleteFile('C:\Windows\System32\KBDMAI.dll','32');
 DeleteFile('C:\Windows\System32\wlanmgr.dll','32');
 DeleteFile('C:\Users\Дом\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
 DeleteFile('C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll','32');
 DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
 DelBHO('{17177FAA-3830-43D3-A70B-FDE532676B1E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sbnknc','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\configuration','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Auto','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','configuration');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15); 
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#3
Здравствуйте!
Спасибо!
Логи во вложении, quarantine.zip по форме отправил.
По "симптомам" - активное заражение пропало, однако появляется всплывающая реклама (mozilla), а также при открытии новой вкладки открывается еще одна с "подпиской" (не всегда)... Chromodo работает минуты 2, после подвисает и совсем прекращает работу, "сказав" о том, что ошибка критическая...
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#4
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#5
Выполнено.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR Extension: (Ultimate Discounter) - C:\Users\Дом\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-12-04]
CHR Extension: (NetSecurity) - C:\Users\Дом\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogalaicobgnjddfiiananilkfdecfcki [2014-10-13]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
OPR Extension: (APIHelper) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-26]
OPR Extension: (Ultimate Discounter) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2014-12-04]
OPR Extension: (Adobe DTM Switch) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-12-04]
OPR Extension: (NetSecurity) - C:\Users\Дом\AppData\Roaming\Opera Software\Opera Stable\Extensions\ogalaicobgnjddfiiananilkfdecfcki [2014-10-13]
S2 d3dadapter; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
2015-09-02 08:54 - 2015-09-02 08:54 - 00000000 ____H C:\Windows\system32\Drivers\Msft_Kernel_mvusbews_01009.Wdf
C:\Users\Дом\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Дом\AppData\Local\Temp\amigo_setup.exe
AlternateDataStreams: C:\Windows\system32\HP1100LM.DLL:$CmdTcID
AlternateDataStreams: C:\Windows\system32\HP1100SM.EXE:$CmdTcID
AlternateDataStreams: C:\Windows\system32\HP1100SMs.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\HPSIsvc.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\mvusbews.dll:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\CFRMD.sys:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\mvusbews.sys:$CmdTcID
AlternateDataStreams: C:\Users\Дом\Desktop\FRST.exe:$CmdTcID
AlternateDataStreams: C:\Users\Дом\Desktop\FRST.exe:$CmdZnID
AlternateDataStreams: C:\Users\Дом\Downloads\AutoLogger.zip:$CmdZnID
AlternateDataStreams: C:\Users\Дом\Downloads\LJP1100_P1560_P1600_Full_Solution.exe:$CmdTcID
AlternateDataStreams: C:\Users\Дом\Downloads\LJP1100_P1560_P1600_Full_Solution.exe:$CmdZnID
AlternateDataStreams: C:\Users\Дом\Downloads\TeamViewer_Setup_ru.exe:$CmdTcID
AlternateDataStreams: C:\Users\Дом\Downloads\TeamViewer_Setup_ru.exe:$CmdZnID
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#7
Выполнено.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#8
Что с проблемой?
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#9
Исчезли... Спасибо. Закрываем тему?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#10
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#11
Выполнено.

SecurityCheck by glax24 v.1.4.0.27 [24.08.15]
WebSite: www.safezone.cc
DateLog: 06.09.2015 17:32:06
Path starting: C:\Users\Дом\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Дом
VersionXML: 1.73is
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 10.10.2013 10:12:54
Статус лицензии: Windows(R) 7, Ultimate edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Comodo\Chromodo\chromodo.exe
Системный диск: C: ФС: [NTFS] Емкость: [49.2 Гб] Занято: [32.2 Гб] Свободно: [17 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.17457 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
COMODO Antivirus (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
COMODO Firewall (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Comodo Defense+ (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
COMODO Internet Security Premium v.8.2.0.4674
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.5.09
CCleaner 3.14.1616
Skype 5.6.0.110
TeamViewer 10 v.10.0.45862
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
Необязательное обновление.
Microsoft Silverlight v.5.1.40728.0
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 18 NPAPI v.18.0.0.232
Adobe Reader XI (11.0.12) - Russian v.11.0.12
Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Chromodo v.44.5.7.268
Mozilla Firefox 34.0 (x86 ru) v.34.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
MarketResearch v.130.0.374.000 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
SmartWebPrinting v.130.0.457.000 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#13
Выполнено.
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#14
D:\Мои документы\Рабочий стол\аттестация\Калюжная.exe - самораспаковывающийся архив? Или неизвестный Вам файл?
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#15
неизвестный файл...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#16
Повторяйте сканирование и удаляйте все найденное
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#17
Спасибо, выполнено. Что дальше?
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#19
Выполнено:

SecurityCheck by glax24 v.1.4.0.28 [09.09.15]
WebSite: www.safezone.cc
DateLog: 10.09.2015 13:36:12
Path starting: C:\Users\Дом\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Дом
VersionXML: 1.76is
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 10.10.2013 10:12:54
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Comodo\Chromodo\chromodo.exe
Системный диск: C: ФС: [NTFS] Емкость: [49.2 Гб] Занято: [33.2 Гб] Свободно: [16 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
COMODO Antivirus (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
COMODO Firewall (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Comodo Defense+ (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
COMODO Internet Security Premium v.8.2.0.4674
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.5.09
CCleaner 3.14.1616
Malwarebytes Anti-Malware, версия 2.1.8.1057 v.2.1.8.1057
Skype 5.6.0.110
TeamViewer 10 v.10.0.45862
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
Необязательное обновление.
Microsoft Silverlight v.5.1.40728.0
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 18 ActiveX v.18.0.0.232
Adobe Flash Player 18 NPAPI v.18.0.0.232
Adobe Reader XI (11.0.12) - Russian v.11.0.12
------------------------------- [ Browser ] -------------------------------
Chromodo v.44.5.7.269 [+]
Mozilla Firefox 40.0.3 (x86 ru) v.40.0.3
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.40.0.3.5716
----------------------------- [ End of Log ] ------------------------------
 
Статус
В этой теме нельзя размещать новые ответы.