Решена Плохо работает ноутбук + Browserupdphenix
- Автор темы Dragokas
- Дата начала
-
- Теги
- browserupdphenix
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Деинсталлируйте NetShield Kit
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Подробнее читайте в этом руководстве.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
begin
QuarantineFile('C:\Users\User\appdata\local\browserupdphenix\browserupdphenix.exe','');
QuarantineFile('C:\Users\User\AppData\Local\alpypit\ctprcoyoq.js','');
QuarantineFile('c:\users\user\appdata\local\temp\ous7q.exe','');
DeleteFile('c:\program files (x86)\netshield kit\netshieldsvc.exe','32');
DeleteFile('c:\users\user\appdata\local\temp\ous7q.exe','32');
DeleteFile('C:\Users\User\AppData\Local\alpypit\ctprcoyoq.js','64');
DeleteFile('C:\Users\User\appdata\local\browserupdphenix\browserupdphenix.exe','32');
DeleteSchedulerTask('Browserupdphenix');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4945d3ec-f567-48b9-87af-f886c7144353}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{5807d778-87da-4467-a078-813c2e703308}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{5e1f5d20-b786-4999-9906-38f5c9f5bc3d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{963b7c90-26d7-4f3b-a76c-1eba15b70a3e}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ae55d424-99f1-4b62-a39e-e923435043bc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{e24527d5-55b9-11e6-83cf-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{e5fd36a3-1a30-4539-aade-a3575483e92a}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{fb9c5582-657c-4a15-bc3a-477ad6c530f3}: [NameServer] = 37.59.58.122
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Последнее редактирование модератором:
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
В дополнение. Под снос также:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
Некоторые из перечисленных пока скрыты.
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
>>"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Как ты понимаешь перед этим фиксом на роутере ты вручную должен будешь исправить. Ибо твоя программа, там не пофиксит.
>>Некоторые из перечисленных пока скрыты.
Как разобраться с ними из Хиджака ты тоже знаешь
.
А если интересно, то у там эта бяка https://safezone.cc:443/threads/fej...ja-windows-menjaet-dns-i-majnit-monero.38176/
Как ты понимаешь перед этим фиксом на роутере ты вручную должен будешь исправить. Ибо твоя программа, там не пофиксит.
>>Некоторые из перечисленных пока скрыты.
Как разобраться с ними из Хиджака ты тоже знаешь
.А если интересно, то у там эта бяка https://safezone.cc:443/threads/fej...ja-windows-menjaet-dns-i-majnit-monero.38176/
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Деинсталлировал всё рекомендованное в т.ч. еще несколько программ и Dr.Web, так как там все равно нет лицензии.
AVZ скрипт выполнен, карантин на почте. Размер большой, т.к. ещё выполнялись скрипты №№ 8, 9 по отдельной просьбе.
В HiJackThis пофикшено. Часть недочищенных служб от деинсталлированных программ удалил через HiJackThis.
AutoRunsVTChecker отработал штатно.
Отчеты AdwCleaner и UVs прикреплены.
PS. Перед проверкой ещё запускалась старая сборка DWS для убийства телеметрии.
Конкретно в моем случае достаточно было пофиксить строки реестра, предоставленные Akok, чтобы заодно удалилась запись DHCP DNS 2.
AVZ скрипт выполнен, карантин на почте. Размер большой, т.к. ещё выполнялись скрипты №№ 8, 9 по отдельной просьбе.
В HiJackThis пофикшено. Часть недочищенных служб от деинсталлированных программ удалил через HiJackThis.
AutoRunsVTChecker отработал штатно.
Отчеты AdwCleaner и UVs прикреплены.
PS. Перед проверкой ещё запускалась старая сборка DWS для убийства телеметрии.
Это не всегда так. В этом пункте совмещены настройки как реестра, так и роутера.
Конкретно в моем случае достаточно было пофиксить строки реестра, предоставленные Akok, чтобы заодно удалилась запись DHCP DNS 2.
Последнее редактирование:
Vvvyg
Ассоциация VN
- Сообщения
- 292
- Реакции
- 130
Выполните скрипт в UVS:
Карантин ZOO_* отправлять, сами знаете куда, смысла, наверное, нет, там только один файл стоит проверить на VT - C:\PROGRAM FILES (X86)\TRANSMISSION\QT5CORE.DLL
И меня интересует, что там за хрень, что в образ попадают только библиотеки, а EXE - нет. И там явно защищённая папка. Поэтому выложите карантин куда-нить, и мне ссылку в личку.
И лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения сюда вложением.
Код:
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
delref %SystemRoot%\TEMP\43D0FB0A.SYS
delref %Sys32%\DRIVERS\DWPROT.SYS
delref %Sys32%\DRIVERS\DW_WFP.SYS
delref %SystemDrive%\PROGRA~2\ZONA\ZONA.EXE
dirzoo %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION
deldir %SystemDrive%\PROGRAM FILES (X86)\TRANSMISSION
setdns Ethernet 2\4\{E5FD36A3-1A30-4539-AADE-A3575483E92A}\8.8.8.8,8.8.4.4
setdns Ethernet\4\{4945D3EC-F567-48B9-87AF-F886C7144353}\8.8.8.8,8.8.4.4
setdns Беспроводная сеть\4\{5E1F5D20-B786-4999-9906-38F5C9F5BC3D}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети* 1\4\{FB9C5582-657C-4A15-BC3A-477AD6C530F3}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети* 2\4\{AE55D424-99F1-4B62-A39E-E923435043BC}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети* 4\4\{5807D778-87DA-4467-A078-813C2E703308}\8.8.8.8,8.8.4.4
setdns Сетевое подключение Bluetooth\4\{963B7C90-26D7-4F3B-A76C-1EBA15B70A3E}\8.8.8.8,8.8.4.4
dnsreset
deltmp
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\AVAST SECURE BROWSER.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\AVASTBROWSERUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\REMPL\DISKTOAST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\REMPL\STRGSNSADDONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\1.5.245.0\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_48C2E68E54C92258\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\1.5.245.0\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.301\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\1.5.245.0\NPAVASTBROWSERUPDATE3.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\1.5.245.0\AVASTBROWSERUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\UPDATE\1.5.245.0\AVASTBROWSERUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVAST SOFTWARE\BROWSER\APPLICATION\AVASTBROWSER.EXE
apply
czoo
restartИ меня интересует, что там за хрень, что в образ попадают только библиотеки, а EXE - нет. И там явно защищённая папка. Поэтому выложите карантин куда-нить, и мне ссылку в личку.
И лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения сюда вложением.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Спасибо за потраченное время.
Я лечу один раз в год поэтому просьба давать развернутый ответ, т.к. не совсем понимаю о чём речь.
Скрипт UVs выполнил. 8.8.8.8 мне не нравится, заменил на 1.1.1.1.
Выполнял без команды перезапуска ПК, но с отключением Windows Defender (при первичной проверке UVs я дефендер не отключал, возможно, в этом проблема, т.к. дефендер покусал и отправил в карантин кучу файлов от UVs).
Фикс выполнял из-под заново распакованной папки UVs.
Папка Zoo пуста.
Я лечу один раз в год поэтому просьба давать развернутый ответ, т.к. не совсем понимаю о чём речь.
Скрипт UVs выполнил. 8.8.8.8 мне не нравится, заменил на 1.1.1.1.
Выполнял без команды перезапуска ПК, но с отключением Windows Defender (при первичной проверке UVs я дефендер не отключал, возможно, в этом проблема, т.к. дефендер покусал и отправил в карантин кучу файлов от UVs).
Фикс выполнял из-под заново распакованной папки UVs.
Папка Zoo пуста.
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Собери новый образ автозапуска uVS.
Код:
begin
ExecuteRepair(20);
RebootWindows(false);
end.Компьютер перезагрузится.
Собери новый образ автозапуска uVS.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Это замена на DNS гугла, но раз ты говоришь, что после фикса у тебя вирусные DNS исчезли (предположу, что лог был собран до фикса и был неактуален), то в тех командах вообще не было необходимости.
Так что лучше бы ты собрал лог с актуальными данными на данный момент.
Add. после выполнения скрипта Сандора из предыдущего поста просьба папку Backup из папки с AVZ заархивируй и прикрепи.
Похоже прописаны маршруты которые видит uVS и не видит AVZ.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Скрипт AVZ выполнен.
Кроме того, пофикшен через HiJackThis:
Также, был установлен Kaspersky Free.
ПК перезагружен. Прилагаю новый лог UVs.
Кроме того, пофикшен через HiJackThis:
Код:
O4 - HKCU\..\Run: [Download Studio] = C:\Program Files (x86)\Download Studio\dstudio-gui.exe --minimized
Также, был установлен Kaspersky Free.
ПК перезагружен. Прилагаю новый лог UVs.
Нет, собирал уже после фикса (но без перезагрузки).
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
А что папки Backup не было? После скрипта она должна быть и там должны быть файлы с static_routes + дата в название.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Discord - пользователь сам ставил? Судя по дате установлен во время заражения, а этот вирус порой ставит модифицированный Discord.
MULTISEARCH (klkjgpmdjocaabfgddmnbahcaibjnene) - рассширение в браузере юзер сам ставил? Если не пользуется им удалить.
+ Почистим ещё немного мусор. Выполни скрипт в uVS
Собери свежий лог Автологером.
MULTISEARCH (klkjgpmdjocaabfgddmnbahcaibjnene) - рассширение в браузере юзер сам ставил? Если не пользуется им удалить.
+ Почистим ещё немного мусор. Выполни скрипт в uVS
Код:
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
deltmp
;---------command-block---------
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKLKJGPMDJOCAABFGDDMNBAHCAIBJNENE%26INSTALLSOURCE%3DONDEMAND%26UC
apply
regt 27
restartСобери свежий лог Автологером.
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Дискорд не известно откуда ставили, но он иногда не запускался. Вообщем, переустановил.
Расширение удалил.
Скрипт выполнил.
Расширение удалил.
Скрипт выполнил.
Приложил.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
1)
Деинсталируй.
2) Советую пофиксить (ибо они могут маскировать проблему)
3) Download Studio - знаю, что ты удалил, но частично хвосты остались и чтобы наверняка дочистить всё выполни ещё такой скрипт AVZ
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):
после выполнения скрипта компьютер перезагрузится.
Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
PS. На файлы от Download Studio будет добавлен детект у касперскго not-a-virus:Downloader.Win32.DStudio.gen
Что с проблемой?
+ Собери свежий лог Хиджак, чтобы посмотреть какие DNS там сейчас будет показывать.
Код:
Avast Update Helper [20191124]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}2) Советую пофиксить (ибо они могут маскировать проблему)
Код:
O17 - DHCP DNS 1: 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - DHCP DNS 2: 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4945d3ec-f567-48b9-87af-f886c7144353}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4945d3ec-f567-48b9-87af-f886c7144353}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5807d778-87da-4467-a078-813c2e703308}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5807d778-87da-4467-a078-813c2e703308}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5e1f5d20-b786-4999-9906-38f5c9f5bc3d}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5e1f5d20-b786-4999-9906-38f5c9f5bc3d}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{963b7c90-26d7-4f3b-a76c-1eba15b70a3e}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{963b7c90-26d7-4f3b-a76c-1eba15b70a3e}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{ae55d424-99f1-4b62-a39e-e923435043bc}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{ae55d424-99f1-4b62-a39e-e923435043bc}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{e24527d5-55b9-11e6-83cf-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{e24527d5-55b9-11e6-83cf-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{e5fd36a3-1a30-4539-aade-a3575483e92a}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{e5fd36a3-1a30-4539-aade-a3575483e92a}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)
O17 - HKLM\System\CCS\Services\Tcpip\..\{fb9c5582-657c-4a15-bc3a-477ad6c530f3}: [NameServer] = 1.1.1.1 (Well-known DNS: Cloudflare / APNIC)
O17 - HKLM\System\CCS\Services\Tcpip\..\{fb9c5582-657c-4a15-bc3a-477ad6c530f3}: [NameServer] = 8.8.4.4 (Well-known DNS: Google)3) Download Studio - знаю, что ты удалил, но частично хвосты остались и чтобы наверняка дочистить всё выполни ещё такой скрипт AVZ
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files (x86)\Download Studio\dstudio-gui.exe', '');
QuarantineFileF('C:\Program Files (x86)\Download Studio\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\User\AppData\Local\Grand Media\Download Studio\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask('C:\Program Files (x86)\Download Studio\', '*', true);
DeleteFileMask('C:\Users\User\AppData\Local\Grand Media\Download Studio\', '*', true);
DeleteDirectory('C:\Program Files (x86)\Download Studio\');
DeleteDirectory('C:\Users\User\AppData\Local\Grand Media\Download Studio\');
DeleteSchedulerTask('DownloadStudio Standalone Updater');
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.после выполнения скрипта компьютер перезагрузится.
Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
PS. На файлы от Download Studio будет добавлен детект у касперскго not-a-virus:Downloader.Win32.DStudio.gen
Что с проблемой?
+ Собери свежий лог Хиджак, чтобы посмотреть какие DNS там сейчас будет показывать.
- Статус
