1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Поймал вирус на открытие новых вкладок с сайтами

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Atum, 26 ноя 2016.

Статус темы:
Закрыта.
  1. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Здравствуйте. Поймал вирус сегодня , по своей тупости ... Пробегал антивирусом NOD, AdwCleaner, Сcleaner - толку 0. Вирус делает самостоятельный запуск браузера (если он закрыт, с интервалами в 10+ минут) и открывает +1 вкладку с сайтом продаж, казино и прочее (всего вроде 3 сайта возможных на открытие).
    P.s. В файле Hosts всё нормально.
     

    Вложения:

    • Check_Browsers_LNK.log
      Размер файла:
      12,2 КБ
      Просмотров:
      3
    • HiJackThis.log
      Размер файла:
      17,7 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      27,7 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      133,4 КБ
      Просмотров:
      0
    • report1.log
      Размер файла:
      509 байт
      Просмотров:
      0
    • report2.log
      Размер файла:
      1,7 КБ
      Просмотров:
      0
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.040
    Симпатии:
    5.456
    Здравствуйте.
    А почему нормальные логи не сделали?
     
  4. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Всё делал по инструкции из http://safezone.cc/pravila/ , всё из архива который был создан CollectionLog-2016.11.26-18.22 - загрузил. Сейчас загрузил сам архив.
     

    Вложения:

    Последнее редактирование: 26 ноя 2016
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.040
    Симпатии:
    5.456
    bl в программах - это вам знакомо?

    Создайте точку восстановления!!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    {Исправление в службах в реестре, значения ImagePath.
    Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
    При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязателена. }
    var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
     DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
     ImagePathStr, RootStr, SubRootStr, LangID: string;
     AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
     FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
     RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

    procedure CheckAndRestoreSection(Root: String);
    begin
     Inc(AllRoots);
     if RegKeyExistsEx('HKLM', Root) then
       RegKeyResetSecurity('HKLM', Root)
     else
      begin
        Inc(RootsRestored);
        RegKeyCreate('HKLM', Root);
        AddToLog(RegSectMsg + Root + RestMsg);
       end;
    end;

    procedure CheckAndRestoreSubSection;
    begin
      CheckAndRestoreSection(SubRootStr);
    end;

    procedure RestoredMsg(Root, Param: String);
    begin
      AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
      Inc(KeysRestored);
    end;

    procedure FixedMsg(Root, Param: String);
    begin
      AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
      Inc(KeysFixed);
    end;

    procedure RestoreStrParam(Root, Param, Value: String);
    begin
      RegKeyStrParamWrite('HKLM', Root, Param, Value);
      RestoredMsg(Root, Param);
    end;

    procedure CheckAndRestoreStrParam(Root, Param, Value: String);
    begin
      Inc(AllKeys);
      if not RegKeyParamExists('HKLM', Root, Param) then
        RestoreStrParam(Root, Param, Value);
    end;

    procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', Root, Param) then
      begin
        RegKeyIntParamWrite('HKLM', Root, Param, Value);
        RestoredMsg(Root, Param);
      end;
    end;

    procedure CheckAndRestoreMultiSZParam(Param, Value: String);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, Param) then
      begin
        ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
        RestoredMsg(RootStr, Param);
      end;
    end;

    // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
    procedure ImagePathFix(Node, Srv: String);
    var RegStr: String;
    begin
     RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
     if RegKeyExistsEx('HKLM', RegStr) then
      begin
        Inc(AllKeys);
        RegKeyResetSecurity('HKLM', RegStr);
        RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
        FixedMsg(RegStr, 'ImagePath');
      end;
    end;

    { Выполнение исправление всех ключей в ветках -
       'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
    procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
    var FileServiceDll, CCSNumber: string;
         i : integer;
    begin
     if Srv = 'BITS' then
       FileServiceDll := FullPathSystem32 + 'qmgr.dll'
     else
       FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
     RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

     CheckAndRestoreSection(RootStr);

     CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
     CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
     CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
       RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
     else
      begin
        Dec(AllKeys);
        if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
          for i:= 0 to 999 do
           begin
             if i > 0 then
               CCSNumber := FormatFloat('ControlSet000', i)
             else
               CCSNumber := 'CurrentControlSet';
             ImagePathFix(CCSNumber, Srv);
          end;
       end;

     CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
     CheckAndRestoreIntParam(RootStr, 'Start', 2);
     CheckAndRestoreIntParam(RootStr, 'Type', 32);

     if Srv = 'BITS' then
      begin
        CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
        CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
      end;

     SubRootStr:= RootStr + '\Enum';
     CheckAndRestoreSubSection;

     CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
     CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
     CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

     SubRootStr := RootStr + '\Security';
     CheckAndRestoreSubSection;

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
      begin
        RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
        RestoredMsg(SubRootStr, 'Security');
      end;

     SubRootStr:= RootStr + '\Parameters';
     CheckAndRestoreSubSection;

     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        RestoredMsg(SubRootStr, 'ServiceDll');
      end
     else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        FixedMsg(SubRootStr, 'ServiceDll');
      end
    end;

    { Главное выполнение }
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     StopService('gkernel');
     QuarantineFile('C:\Users\Adian\AppData\Local\Temp\gkernel.sys', '');
     DeleteFile('C:\Users\Adian\AppData\Local\Temp\gkernel.sys', '32');
     ClearLog;
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
     LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
     if LangID = '0419' then
      begin
        DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
        DispayNameTextWuauServ := 'Автоматическое обновление';
        DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
        DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
        AddToLog('Операционная система - русская');
        FinishMsg := '–––– Восстановление завершено ––––';
        RestoreMsg := 'Восстановлено разделов\параметров: ';
        FixMsg := 'Исправлено параметров: ';
        CheckMsg := 'Проверено разделов\параметров: ';
        RegSectMsg := 'Раздел реестра HKLM\';
        ParamMsg := 'Параметр ';
        ParamValueMsg := 'Значение параметра ';
        InRegSectMsg := ' в разделе реестра HKLM\';
        CorrectMsg := ' исправлено на оригинальное.';
        RestMsg := 'восстановлен.';
      end
     else if LangID = '0409' then
      begin
        DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
        DispayNameTextWuauServ := 'Automatic Updates';
        DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
        DispayNameTextBITS := 'Background Intelligent Transfer Service';
        AddToLog('Operation system - english');
        FinishMsg := '–––– Restoration finished ––––';
        RestoreMsg := 'Sections\parameters restored: ';
        FixMsg := 'Parameters corrected: ';
        CheckMsg := 'Sections\parameters checked: ';
        RegSectMsg := 'Registry section HKLM\';
        ParamMsg := 'Parameter ';
        ParamValueMsg := 'Value of parameter ';
        InRegSectMsg := ' in registry section HKLM\';
        CorrectMsg := ' corrected on original.';
        RestMsg := ' restored.';
      end;
     AddToLog('');

    { Определение папки X:\Windows\System32\ }
     NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
     ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
     Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
     FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

     AllRoots := 0;
     AllKeys := 0;
     RootsRestored := 0;
     KeysRestored := 0;
     KeysFixed := 0;

     CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
     CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

     AddToLog('');
     AddToLog(FinishMsg);
     AddToLog('');
     AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
     AddToLog(FixMsg + IntToStr(KeysFixed));
     AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
     SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     DeleteService('gkernel');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O22 - ScheduledTask: (Ready) InternetAD - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://timeinsnewsing.org/hotravosm
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 26 ноя 2016
  6. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    1) quarantine.zip архив был создан пустым , его все равно отправлять ?
    2) AdwCleaner ом я уже проходил до этого , те угрозы , которые он находят (6 штук от mail) - являются нормой для одной из игр и содержат личные данный (логин и пароль) для входа , при очистке они удаляются. Эти файлы у меня были задолго до заражения.
    3) Фикс строки в HijackThis должен был решить проблему ?
    Все данные прикрепил.
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.040
    Симпатии:
    5.456
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  8. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Сделал.
    --- Объединённое сообщение, 26 ноя 2016 ---
    Сделал криво, переделаю. (делал на вирусном пк)
    --- Объединённое сообщение, 26 ноя 2016 ---
    P.s. Вроде как не вылетает пока , уже час прошёл. А било каждые 10-15 минут.
    --- Объединённое сообщение, 26 ноя 2016 ---
    Выше был предоставлен лог сделанный с заражённого пк , без сравнения из под запуска биос. Пока проблемы не замечаю с сайтами , возможно исправление строчки через HijackThis помогло. Если в течении ближайших 24 часов вылетит , сделаю лог авто запуска - сравнительный.
     

    Вложения:

  9. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Почему тут нельзя свежие сообщения удалять , думал этот лог не прикреплял.
     

    Вложения:

    Последнее редактирование: 26 ноя 2016
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.040
    Симпатии:
    5.456
    Ну что,как дела?

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Файл - Деинсталлировать.
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.




    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Выполните рекомендации после лечения.
     
  11. Atum
    Оффлайн

    Atum Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Последствий нахождения вируса на ПК - нету , спасибо за решение проблемы.
     

    Вложения:

  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    13.040
    Симпатии:
    5.456
    Internet Explorer 11.0.9600.18163 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

    WinRAR 5.21 v.5.21 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.18 v.7.18.111 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления
    Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления

    Выполните рекомендации после лечения.

    Удачи.
     
Статус темы:
Закрыта.

Поделиться этой страницей