Закрыто Подозрение на вирус.

Статус
В этой теме нельзя размещать новые ответы.

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#1
Ситуация следующая: несколько дней назад перестал нормально отображаться форум на котором я обычно общаюсь (на Опере и на Файерфоксе, на Яндекс браузере отображается нормально), такое ощущение что слетели все скрипты. Такая проблема только у меня. Сканирование различными антивирусными сканерами не помогло найти зловреда (если он есть), попытка собрать логи аутологером не удалась (хотя я уже не первый раз пользуюсь аутологером). Аутологер начинает сбор информации, предлагает перезагрузку, после перезагрузки, он опять предлагает перезагрузку и т.д. Т.е. постоянно предлагает перезагрузиться, сбор логов не идет. Что в такой ситуации делать? Заранее благодарю.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#2
Добрый день.

А в безопасном режиме такая-же проблема? Если да, то тогда
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#4
Политики сами настраивали? Компьютер офисный?
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#6
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Windows\system32\eEmpty.exe; C:\Users\Руслан\Desktop\wwdc.exe
    HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\Users\Руслан\Desktop\Аутологер\AutoLogger\AVZ\avz.exe" Script="C:\Users\Руслан\Desktop\Аутологер\AutoLogger\AVZ\GeneralScript.txt" HiddenMode=0
    HKLM\...\Policies\Explorer: [NoViewOnDrive] 0
    HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0
    HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
    HKLM\...\Policies\Explorer: [NoViewContextMenu] 0
    HKLM\...\Policies\Explorer: [NoShellSearchButton] 0
    HKLM\...\Policies\Explorer: [NoFind] 0
    HKLM\...\Policies\Explorer: [NoFile] 0
    HKLM\...\Policies\Explorer: [HideClock] 0
    HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0
    HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0
    HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0
    HKLM\...\Policies\Explorer: [NoSetTaskbar] 0
    HKLM\...\Policies\Explorer: [NoDeletePrinter] 0
    HKLM\...\Policies\Explorer: [NoDFSTab] 0
    HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
    HKLM\...\Policies\Explorer: [NoLogoff] 0
    HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0
    HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0
    HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0
    HKLM\...\Policies\Explorer: [NoResolveSearch] 0
    HKLM\...\Policies\Explorer: [NoSaveSettings] 0
    HKLM\...\Policies\Explorer: [NoHardwareTab] 0
    HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0
    HKU\S-1-5-19\...\Policies\system: [NoDispAppearancePage] 0
    HKU\S-1-5-19\...\Policies\system: [NoDispBackgroundPage] 0
    HKU\S-1-5-19\...\Policies\system: [NoDispSettingsPage] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoViewOnDrive] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisableLocalMachineRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisableCurrentUserRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoViewContextMenu] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoShellSearchButton] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoFind] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoFile] 0
    HKU\S-1-5-19\...\Policies\Explorer: [HideClock] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoTrayContextMenu] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoTrayItemsDisplay] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoSetFolders] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoDevMgrUpdate] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoSetTaskbar] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoDeletePrinter] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoDFSTab] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoChangeStartMenu] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoLogoff] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoWindowsUpdate] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoEncryptOnMove] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoRunasInstallPrompt] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoSaveSettings] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoHardwareTab] 0
    HKU\S-1-5-19\...\Policies\Explorer: [NoStartMenuSubFolders] 0
    HKU\S-1-5-20\...\Policies\system: [NoDispAppearancePage] 0
    HKU\S-1-5-20\...\Policies\system: [NoDispBackgroundPage] 0
    HKU\S-1-5-20\...\Policies\system: [NoDispSettingsPage] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoViewOnDrive] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisableLocalMachineRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisableCurrentUserRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoViewContextMenu] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoShellSearchButton] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoFind] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoFile] 0
    HKU\S-1-5-20\...\Policies\Explorer: [HideClock] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoTrayContextMenu] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoTrayItemsDisplay] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoSetFolders] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoDevMgrUpdate] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoSetTaskbar] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoDeletePrinter] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoDFSTab] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoChangeStartMenu] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoLogoff] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoWindowsUpdate] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoEncryptOnMove] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoRunasInstallPrompt] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoSaveSettings] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoHardwareTab] 0
    HKU\S-1-5-20\...\Policies\Explorer: [NoStartMenuSubFolders] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\system: [NoDispSettingsPage] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoViewOnDrive] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [DisableCurrentUserRun] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoViewContextMenu] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoShellSearchButton] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoFind] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoFile] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [HideClock] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoTrayContextMenu] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoTrayItemsDisplay] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoSetTaskbar] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoDeletePrinter] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoDFSTab] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoChangeStartMenu] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoLogoff] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoWindowsUpdate] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoEncryptOnMove] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoRunasInstallPrompt] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoResolveSearch] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoSaveSettings] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoHardwareTab] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\Policies\Explorer: [NoStartMenuSubFolders] 0
    HKU\S-1-5-21-2854652736-111800937-613716770-1000\...\MountPoints2: {0fdff9cd-0261-11e7-b219-902b34ccc930} - E:\autorun.exe
    HKU\S-1-5-18\...\Policies\system: [NoDispAppearancePage] 0
    HKU\S-1-5-18\...\Policies\system: [NoDispBackgroundPage] 0
    HKU\S-1-5-18\...\Policies\system: [NoDispSettingsPage] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoViewOnDrive] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisableLocalMachineRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisableCurrentUserRun] 0
    HKU\S-1-5-18\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoViewContextMenu] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoShellSearchButton] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoFind] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoFile] 0
    HKU\S-1-5-18\...\Policies\Explorer: [HideClock] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoTrayContextMenu] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoTrayItemsDisplay] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoSetFolders] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoSetTaskbar] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoDeletePrinter] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoDFSTab] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoChangeStartMenu] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoLogoff] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoWindowsUpdate] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoEncryptOnMove] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoRunasInstallPrompt] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoSaveSettings] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoHardwareTab] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoStartMenuSubFolders] 0
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    SearchScopes: HKLM -> DefaultScope value is missing
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File
    ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> No File
    Task: {98BC51EC-3162-432D-BA17-CBC90911E535} - \{6D2676C0-329B-49D7-A252-FC372B597487} -> No File <==== ATTENTION
    Task: {EB740433-2D5B-40B4-ACDF-870D01216DD0} - \{2025D03B-0C56-4E7C-BD2F-D6DBC0101A6E} -> No File <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\eEmpty.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Drivers\tmcomm.sys:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Руслан\Desktop\wwdc.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Руслан\Desktop\wwdc.exe:$CmdZnID [26]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#7
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#8
Сделал как вы сказали. Высылаю логи. Замечу, что АДВ я проверял сегодня утром, поэтому на всякий случай сброшу и утренние логи, в них было обнаружение, но насколько я могу судить ничего серьезного. Я хотел бы еще у Вас спросить, исходя из выложенной информации, есть ли серьезное (трояны, руткиты и т.п.) вмешательство в систему или нет? И для чего потребовалось фиксить, что это показало, кроме того почему Вы спросили про политики, что в них не так?
Заранее большое спасибо.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,481
Симпатии
12,576
Баллы
2,203
#9
Advanced SystemCare - деинсталируйте остатки.

Я хотел бы еще у Вас спросить, исходя из выложенной информации, есть ли серьезное (трояны, руткиты и т.п.) вмешательство в систему или нет?
Ничего из перечисленного.
И для чего потребовалось фиксить, что это показало, кроме того почему Вы спросили про политики, что в них не так?
Все нормально, такие настройки могли использовать в корпоративной среде (в домашних системах такое обычно не включают), но они все отключены (уже позже досмотрел), так, что все фиксы были для чистки мусора.

По поводу зависшего автологера, по ссылке есть скрипт для сбора дампов
https://safezone.cc/resources/autologger-regist-drongo.59/field?field=FAQ

В браузерах не включены рекламорезки случаем?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,229
Симпатии
5,834
Баллы
918
#10
Аутологер начинает сбор информации, предлагает перезагрузку, после перезагрузки, он опять предлагает перезагрузку и т.д. Т.е. постоянно предлагает перезагрузиться, сбор логов не идет. Что в такой ситуации делать?
почитать FAQ https://safezone.cc:443/resources/autologger-regist-drongo.59/field?field=FAQ
предлагает перезагрузку, после перезагрузки, он опять предлагает перезагрузку и т.д. Т.е. постоянно предлагает перезагрузиться, сбор логов не идет. Что в такой ситуации делать?
как понимаю когда он предлагает перезагрузку он там же пишет и причину почему её предлагает. И даже могу предположить, что перед этим чьи-то шаловливые ручки шарили по AVZ и включили AVZPM который теперь никак не удаётся отключить.
Но чтобы не гадать, соберите репорты (скрипт в FAQ), там уже точно будет видно.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,319
Симпатии
1,575
Баллы
433
#11
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу