Решена Подозрение на кейлоггены и может руткит

[Milla]

tdsskiller просканировал систему до того, как использовалось frst. касперский ничего не нашел, вообще. лог прикреплен.

и также без антивируса пофиксено в фрст - лог прикреплен

 

[Кирилл]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите папку FRST.

Malwarebytes Anti-Malware удалите.

Microsoft Silverlight v.5.1.40728.0
Foxit Reader v.7.1.5.425 Warning! Download Update
VLC media player 2.1.3 v.2.1.3 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.2.1.28086 Warning! P2P-client.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.9.0.1380 Warning! Download Update
Adobe Flash Player 18 ActiveX v.18.0.0.232
Adobe Flash Player 18 NPAPI v.18.0.0.232
Adobe Reader 9.4.0 v.9.4.0 Warning! Download Update
Uninstall old version and install new one.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 38.0.1 (x86 en-US) v.38.0.1 Warning! Download Update
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.38.0.1.5611
---------------------------- [ UnwantedApps ] -----------------------------
MarketResearch v.130.0.374.000 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and AdwCleaner (by Xplode). Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
Tencent QQ v.1.75.2739.0 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
SmartWebPrinting v.130.0.457.000 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and AdwCleaner (by Xplode). Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
----------------------------- [ End of Log ] ------------------------------


SmartWebPrinting - ваше?

 

[Milla]

MarketResearch v.130.0.374.000
Tencent QQ v.1.75.2739.0
SmartWebPrinting v.130.0.457.000

эти 3 apps хотелось бы удалить... чем это можно сделать?

 

[Кирилл]

Через установку и удаление программ

 

[Milla]

их там просто нет в списке!

 

[Кирилл]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
MarketResearch (x32 Version: 130.0.374.000 - Hewlett-Packard) Hidden
HP Smart Web Printing 4.51 (HKLM\...\HP Smart Web Printing) (Version: 4.51 - HP)
Tencent QQ (HKLM-x32\...\{3CA54984-A14B-42FE-9FF1-7EA90151D725}) (Version: 1.75.2739.0 - Tencent Technology (Shenzhen) Company Limited)
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Снова проверьте - появилось ли данное ПО в списке установленных программ.

 

[Milla]

можно ли сразу включить в удаляемые и Offers4u? эта гадость преследует на всех сайтах!

 

[Кирилл]

Offers4u?

До сих пор?

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Milla]

сканирование uvs проведено, антивирус при работе был выгружен, прикрепляю сохраненный файл, т.к. у меня стоит 7z - то сохранен вроде бы в нем тоже
но я сама текстовый файл открыть не могу...

сама uvs программа все еще открыта, могу вручную скопировать что видно в окне после сканирования
опять скрипт уведомляет что он неисполняемый, в браузере появились

Script: http://i.mgicinjs.info/opt_con…&ip=71.32.188.73 line 9 > eval:1

 

[Vvvyg]

Сделайте аппаратный сброс настроек роутера кнопкой reset, настройте заново, смените пароль на веб-интерфейс роутера на сложный.
После этого:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   ;uVS v3.86.4 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   delref %SystemDrive%\USERS\1\APPDATA\ROAMING\ALLMYAPPS\ALLMYAPPSUPDATER.EXE
   deldir %SystemDrive%\USERS\1\APPDATA\ROAMING\ALLMYAPPS
   delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\TXSSO\1.2.1.38\BIN\NPSSOAXCTRLFORPTLOGIN.DLL
   del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\TENCENT QQ INTERNATIONAL.LNK
   deldir %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TENCENT SOFTWARE
   delref {7B089B94-D1DC-4C6B-87E1-8156E22C1D96}\[CLSID]
   delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YAHOO.XML
   delref D:\QQ\PLUGIN\COM.TENCENT.HDVIDEO\BIN\SENDVIDEO.DLL
   delref D:\QQ\BIN\TXPFPROXY.DLL
   delref D:\QQ\BIN\APPCOM.DLL
   delref D:\QQ\BIN\CPHELPER.DLL
   delref D:\QQ\BIN\TXPLATFORM.EXE
   delref D:\QQ\BIN\OPIEMODULE.DLL
   delref D:\QQ\BIN\TIMWP.DLL
   delref D:\QQ\BIN\QQ.EXE
   delref D:\QQ\QQUNINST.EXE
   dnsreset
   deltmp
   restart
   
   
   
4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

 

[Milla]

сделан reset для роутера, и создан новый пароль
после этого, без антивируса и файерволла запущена uvs и данный вами скрипт скопирован и исполнен
,
после перезагрузки все еще преследует offers4u, их офиц страница, ссылка на которую видна на банере Offers4U как деинсталлировать не пойму...

qq - не знаю удален или нет, так его явно никогда не видно было.....

что еще сделать и какие логи вы бы хотели посмотреть?
спасибо
вот скриншоты того, что видно в контроль панели как установленные программы

Спойлер: скриншоты

 

[Vvvyg]

Отключите в FireFox все дополнения, подключайте по одному и проверяйте эффект, видимо, одно из них виновато.

 

[Milla]

спасибо! после поочередного отключения apps в фаерфоксе вроде обнаружилась причина - SafeFromNet Helper
Я один день посмотрю что-нибудь появится или нет, хорошо?
Какие тесты для окончательной проверки, что все чисто, сделать?

 

[Vvvyg]

Сделайте лог MBAM, отметьте для сканирования диск C:.

 

[Milla]

сканирование сделано, антивирус и браузер были открыты, лог прикрепляю

с предыдущего ранее сканироания в карантине сидят 3 шт, что с ними делать, скриншот прилагаю

Спойлер: карантин после первого сканирования

программа пока открыта

 

[Vvvyg]

Очистите карантин MBAM: "Delete all".
Чисто.

 

[Milla]

очищено

 

[Vvvyg]

Выполните рекомендации после лечения.

 

[Milla]

как удалить autologger and uvs?
и как удалить security check

еще вопрос -у меня стоит revo uninstaller pro, использовала его в trial период. наверняка прописан в ключах сейчас. очень хорошо чистил, но сейчас что делать - удалить? я его не использую потому что нужно покупать. если удалить - то штатно или как?

есть программа tweaking.com - windows repair, я ею подправляла проблемы с загрузкой некоторых программ (советы из интернета). она всегда есть при автозагрузке, хотя в mscomfig ее не видно и эта опция - автозагрузка - тоже не выбиралась. она мне нужна? что с ней сделать?

какую программу или утилиту держать на компе для регулярного сканирования на adware, etc?

 

[Кирилл]

Рекомендации после удаления вредоносного ПО

Удалите MBAM

как удалить autologger and uvs?
и как удалить security check

Просто удалите скачанные файлы и распакованные папки.

я его не использую потому что нужно покупать. если удалить - то штатно или как?

Через установку и удаление программ.

она мне нужна? что с ней сделать?

Можете посмотреть инструкцию,если я правильно понял вопрос:
Как работать с программой Windows Repair (All In One)

какую программу или утилиту держать на компе для регулярного сканирования на adware, etc?

Задайте этот вопрос в отдельной теме.
+

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.