Решена Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива

Статус
В этой теме нельзя размещать новые ответы.

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Здравствуйте,
Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива.
adwcleaner постоянно находит 1 угрозу,выглядит она так - htt://mail.ru/cnt/10445?gp=818408.
после удаления и перезагрузки системы,сообщение появляется опять и периодически запускается Google Chrome с рекламным сайтом.
Помогите пожалуйста решить роблему.
 

Вложения

  • CollectionLog-2016.12.17-02.23.zip
    71.7 KB · Просмотры: 5

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '');
 QuarantineFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','');
 DeleteFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetDD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 DeleteFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '32');
 DeleteService('{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.
 

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Отправляю Вам отчёт и лог
 

Вложения

  • ClearLNK-17.12.2016_10-16.log
    4.8 KB · Просмотры: 1
  • AdwCleaner[S0].txt
    1.7 KB · Просмотры: 2
  • AdwCleaner[S0].txt
    1.7 KB · Просмотры: 1
  • ClearLNK-17.12.2016_10-16.log
    4.8 KB · Просмотры: 2

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
логи Farbar
 

Вложения

  • Addition.txt
    47.6 KB · Просмотры: 0
  • FRST.txt
    40 KB · Просмотры: 0
  • Shortcut.txt
    150.1 KB · Просмотры: 0

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Лог AdwCleaner ?
Farbar :
 

Вложения

  • AdwCleaner[S3].txt
    2 KB · Просмотры: 2
  • Addition.txt
    47.7 KB · Просмотры: 4
  • FRST.txt
    40.5 KB · Просмотры: 4
  • Shortcut.txt
    150.1 KB · Просмотры: 0

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
C:\AdwCleaner\AdwCleaner[C3].txt - сделайте очистку и выложите этот лог.
 

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Высылаю
 

Вложения

  • AdwCleaner[C3].txt
    1.9 KB · Просмотры: 3

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Проблема вроде бы решилась,рекламные сайты больше не всплывают.но AdwCleaner по прежнему находит вирус.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
AdwCleaner по прежнему находит вирус.
Удалено:
Код:
[-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
Task: {C14BD776-EEC0-4DEE-83D4-AF8548E8C197} - System32\Tasks\MailRuUpdateTask => C:\Users\Артур\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {E4915919-DFD4-4A43-B365-6F4369709855} - \Ksation Schedule -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows:AstInfo [0]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\TEMP:888AFB86 [116]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:CF778051 [120]
AlternateDataStreams: C:\Users\Артур\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Артур\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:888AFB86 [116]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CF778051 [120]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-12-17 00:31 - 2016-09-14 05:38 - 00000000 ___HD C:\Program Files (x86)\11pb8lbz
2016-12-17 00:31 - 2016-09-14 05:33 - 00000000 ___HD C:\Program Files (x86)\b91jki2u
2016-12-16 21:57 - 2016-12-16 21:35 - 00024064 _____ C:\Windows\zoek-delete.exe
2016-12-16 21:34 - 2016-12-16 21:54 - 00000000 ____D C:\zoek_backup
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
 

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Скрипт выполнил,всё почистил.
После входа в google аккаунт в Chrome,adwcleaner продолжает находить 1 угрозу (mail.ru/cnt/10445?gp=818408).
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,677
Баллы
843
Отключите ВСЕ расширения в Chrome просканируйте и очистите с помощью AdwCleaner и проверьте наличие проблемы
 

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
При перезагрузке системы вирус в AdwCleaner всё равно остаётся
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который создался после выполнения скрипта, вы нам так и не показали...жём.
При перезагрузке системы вирус в AdwCleaner всё равно остаётся
Что конкретно остается? Мы же лог не видим...это?
Код:
***** [ Браузеры ] *****
[-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
В любом случае эта страница не несет в себе ни какой угрозы и можете на это просто не обращать внимание или сообщить в этой теме о ложном срабатывании AdwCleaner.
 
Последнее редактирование:

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
Да,именно это.
Но если никакой угрозы нет,всё хорошо.
Спасибо за помощь !!!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
???
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 

Onlyone

Активный пользователь
Сообщения
12
Реакции
0
Баллы
81
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 19.12.2016 20:07:24
Path starting: C:\Users\Артур\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Артур
VersionXML: 3.63is-16.12.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 05.04.2013 20:55:11
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [45.4 Гб] Свободно: [4.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Запрос на повышение прав для обычных пользователей отключен
Автоматическое обновление отключено

Дата установки обновлений: 2013-04-05 22:58:42
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6514.5001
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Microsoft Security Essentials (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.0.1526.0
--------------------------- [ OtherUtilities ] ----------------------------
Архиватор WinRAR
Microsoft Silverlight v.5.1.40416.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.0.29462 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
Adobe Flash Player 24 ActiveX v.24.0.0.186
Adobe Flash Player 24 NPAPI v.24.0.0.186
Adobe Reader XI (11.0.18) - Russian v.11.0.18
------------------------------- [ Browser ] -------------------------------
Google Chrome v.55.0.2883.87
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.55.0.2883.87
------------------ [ AntivirusFirewallProcessServices ] -------------------
Microsoft Antimalware Service (MsMpSvc) - Служба работает
C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.0.1526.0
Проверка сети (Майкрософт) (NisSrv) - Служба остановлена
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Registry Cleaner v.version 1.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Registry Defrag v.version 5.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу