Решена Ноутбук жены

Статус
В этой теме нельзя размещать новые ответы.

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
Приветствую, Уважаемые!:Bye:
Что-то я совсем про Вас позабыл:Blush2:

Тут у жены на ноуте кто-то зловредов накачал. Гляньте логи, пожалуйста:Smile:
 

Вложения

  • CollectionLog-2017.05.09-15.53.zip
    114.7 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Kometa
Unity Web Player
Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\1288~1\appdata\local\temp\067b.tmp');
 TerminateProcessByName('c:\users\Лена\appdata\local\temp\7647.tmp.exe');
 StopService('netfilter2');
 StopService('SvcHost Service Host');
 QuarantineFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\xpon.sys','');
 QuarantineFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '');
 QuarantineFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Амиго.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\Desktop\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk', '');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk', '');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Tortoise\TortoiseOverlay.dll','32');
 DeleteFile('C:\Users\Лена\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Local\xpon\xpon.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\xpon.sys','32');
 DeleteFile('c:\users\1288~1\appdata\local\temp\067b.tmp', '32');
 DeleteFile('c:\users\Лена\appdata\local\temp\7647.tmp.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe', '32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Notepad" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "xpon" /F', 0, 15000, true);
 DeleteService('netfilter2');
 DeleteService('SvcHost Service Host');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelCLSID('{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xdrnuxkvzf');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
До скрипта все жутко тупило. Вроде все удалил через панель управления.
Пытался еще боковую панель Комета удалить, но не получилось.
 

Вложения

  • CollectionLog-2017.05.09-18.56.zip
    63.6 KB · Просмотры: 1
  • ClearLNK-09.05.2017_18-44.log
    6.9 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
боковую панель Комета удалить, но не получилось.
Попробуйте удалить через Revo Uninstall
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353

Вложения

  • AdwCleaner[S0].txt
    9.5 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
Готовенько
 

Вложения

  • AdwCleaner[C0].txt
    10.4 KB · Просмотры: 1
  • Addition.txt
    54.2 KB · Просмотры: 1
  • FRST.txt
    27.9 KB · Просмотры: 1
  • Shortcut.txt
    148.1 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
  • Запустите FRST/FRST64
  • Нажмите комбинацию Ctrl+y - откроется Блокнот
  • Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    HKLM\...\Winlogon: [Userinit] C:\Users\Лена\AppData\Local\Kometa\StartButton\kometastartvx86.exe,C:\Windows\system32\userinit.exe,
    HKU\S-1-5-21-4212443356-1451427896-2642487668-1001\...\Winlogon: [Shell] C:\Users\Лена\AppData\Local\Temp\1jfuweif.exe <==== ATTENTION
    ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
    Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} -  No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://lonsale.ru/?utm_source=startpage03wmt&utm_content=48ce9a5751d4a2f4214e3814776ef355&utm_term=45893E6678D8502047BF054CD0219AC1&utm_d=20170508
    FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1F08FF8A-9B3F-4932-9698-067820F36163%7D&gp=831106
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-05-08]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-08]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-08]
    CHR HomePage: Default -> mail.ru
    CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://pelyena.ru/search?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> wsearch
    CHR Extension: (Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-05-08]
    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Лена\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-08]
    2017-05-08 13:38 - 2017-05-09 18:23 - 00000000 ____D C:\Users\Лена\AppData\Local\xpon
    2017-05-08 13:30 - 2017-05-08 13:30 - 00000000 ____D C:\Users\Лена\AppData\Roaming\Tortoise
    2017-05-08 13:25 - 2017-05-09 15:55 - 00000000 ____D C:\Users\Лена\AppData\Local\NetBoxLogs
    2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\LocalLow\Unity
    2017-05-08 12:56 - 2017-05-09 17:50 - 00000000 ____D C:\Users\Лена\AppData\Local\Unity
    2017-05-08 12:52 - 2017-05-09 18:44 - 00001575 _____ C:\Users\Лена\Desktop\Войти в Интернет.LNK
    2017-05-08 12:46 - 2017-05-09 18:05 - 00000000 ____D C:\Users\Лена\AppData\Local\PowerMonitor
    2017-05-08 12:46 - 2017-05-08 14:55 - 00000000 ____D C:\Users\Лена\AppData\Local\wupdate
    2017-05-08 12:45 - 2017-05-08 12:45 - 00001642 _____ C:\Users\Лена\Desktop\Войны престолов.lnk
    2017-05-08 12:45 - 2017-05-08 12:45 - 00000000 ____D C:\Users\Лена\AppData\Local\Войны престолов
    Task: {FF7825EF-5D35-47A6-ADAE-EAC16B50BF7B} - System32\Tasks\MSI => C:\Users\Лена\AppData\Roaming\Microsoft\msi.exe [2017-05-08] ()
    EmptyTemp:
    Reboot:
    end
  • Сохраните (Ctrl+s) и закройте.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
Тогда создайте рядом с файлом FRST64.exe текстовый файл с именем fixlist.txt, скопируйте в него код, сохраните и закройте.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
Сделал
 

Вложения

  • Fixlog.txt
    7.3 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
Что сейчас с проблемой?
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
Похоже, что все нормально.
Благодарю за содействие:Thank You:
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
Завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
513
Баллы
353
Вот
 

Вложения

  • SecurityCheck.txt
    14.4 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,000
Реакции
2,423
Баллы
743
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
Internet Explorer 11.545.10586.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
WinRAR 4.00 бета 7 (32-разрядная) v.4.00.7 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
JavaFX 2.1.0 v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
JavaFX 2.1.0 SDK v.2.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
Java(TM) 6 Update 26 v.6.0.260 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java 7 Update 65 v.7.0.650 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u131-windows-i586.exe).
Java SE Development Kit 7 Update 4 v.1.7.0.40 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SDK 8 (jdk-8u131-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.5.4.42 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.3) - Russian v.10.1.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Pandora Service Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу