Решена поймал вирус пытаясь скачать активатор KMS

Статус
В этой теме нельзя размещать новые ответы.

Qip

Новый пользователь
Сообщения
12
Реакции
0
Здравствуйте! Помогите, пожалуйста. Надеюсь, это возможно. Заранее спасибо!
 

Вложения

  • CollectionLog-2019.06.25-10.12.zip
    139.6 KB · Просмотры: 2
Здравствуйте!

Пролечите систему с помощью KVRT (отчет прикрепите в следующем сообщении). После этого соберите новый CollectionLog и тоже прикрепите.
 
сделано
 

Вложения

  • Reports.rar
    3.8 KB · Просмотры: 2
  • CollectionLog-2019.06.25-11.53.zip
    101.3 KB · Просмотры: 1
Важные пароли смените, могли быть украдены.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
найденные угрозы удалять?
 

Вложения

  • AdwCleaner[S03].txt
    1.9 KB · Просмотры: 1
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
готово
 

Вложения

  • AdwCleaner[C04].txt
    2.1 KB · Просмотры: 1
  • Addition.txt
    51.3 KB · Просмотры: 1
  • FRST.txt
    61.5 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {9BAAEE5E-36BB-415D-BF2E-4B05A3E58073} - System32\Tasks\KTQyJFOoTqsshFJ2 => rundll32 "C:\Program Files (x86)\nWMBJCgpU\XGCFqq.dll",#1
    C:\Program Files (x86)\nWMBJCgpU\XGCFqq.dll
    HKU\S-1-5-21-1763452054-1650599959-2833194459-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    BHO: YoutubeAdBlock -> {68568C83-AE1A-4F44-9CFD-054ECDF0B7AB} -> No File
    BHO-x32: YoutubeAdBlock -> {68568C83-AE1A-4F44-9CFD-054ECDF0B7AB} -> C:\Program Files (x86)\dlnVbkDrwIE\kIrIBhsX.dll [2019-06-25] () [File not signed]
    C:\Program Files (x86)\dlnVbkDrwIE\kIrIBhsX.dll
    CHR HKU\S-1-5-21-1763452054-1650599959-2833194459-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
    C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\cpemkomkbphajmhffagchoefaomfnjml
    2019-06-25 10:14 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\e3xgybra2yi
    2019-06-25 10:14 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\c33td1uvgi3
    2019-06-25 10:14 - 2019-06-25 10:30 - 000000000 ____D C:\Program Files\E22J5Q8GCV
    2019-06-25 10:14 - 2019-06-25 10:30 - 000000000 ____D C:\Program Files\1DV4XR2FDY
    2019-06-25 10:05 - 2019-06-25 10:05 - 000000000 ____D C:\Users\user\AppData\LocalLow\LIdrscGAPoBhw
    2019-06-25 09:34 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\moxzkgq5g4r
    2019-06-25 09:34 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\jygj3mmgyb5
    2019-06-25 09:34 - 2019-06-25 09:39 - 000000000 ____D C:\Program Files\LGZYWRGPPL
    2019-06-25 09:34 - 2019-06-25 09:39 - 000000000 ____D C:\Program Files\IX0ECTOBIT
    2019-06-25 09:29 - 2019-06-25 09:31 - 000000000 ____D C:\Users\user\Desktop\avz4
    2019-06-25 08:56 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\ufvgwuxfsdb
    2019-06-25 08:56 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\3qfqfqssb0b
    2019-06-25 08:56 - 2019-06-25 09:04 - 000000000 ____D C:\Program Files\8FSLKPKDN7
    2019-06-25 08:56 - 2019-06-25 09:03 - 000000000 ____D C:\Program Files\CXBG9J3H2R
    2019-06-25 01:42 - 2019-06-25 09:02 - 000000000 ____D C:\Users\Все пользователи\xpekMjRorgkcLnVB
    2019-06-25 01:42 - 2019-06-25 09:02 - 000000000 ____D C:\ProgramData\xpekMjRorgkcLnVB
    2019-06-25 01:42 - 2019-06-25 09:02 - 000000000 ____D C:\Program Files (x86)\UZKnQXSDLuMfFGyQwOR
    2019-06-25 01:42 - 2019-06-25 09:02 - 000000000 ____D C:\Program Files (x86)\PFYmOdZWtKrU2
    2019-06-25 01:42 - 2019-06-25 09:02 - 000000000 ____D C:\Program Files (x86)\ArYFQMkyamyIC
    2019-06-25 01:41 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\pr0oklv2bpc
    2019-06-25 01:41 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\k34sa1lcsbh
    2019-06-25 01:41 - 2019-06-25 11:37 - 000000000 ____D C:\Program Files (x86)\dlnVbkDrwIE
    2019-06-25 01:41 - 2019-06-25 01:48 - 000000000 ____D C:\Program Files\KDQAONLG31
    2019-06-25 01:41 - 2019-06-25 01:41 - 000000000 ____D C:\Program Files (x86)\nWMBJCgpU
    2019-06-25 01:14 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\rxoajndzbhg
    2019-06-25 01:14 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\4w4un0yx1l0
    2019-06-25 01:14 - 2019-06-25 01:50 - 000000000 ____D C:\Program Files (x86)\wZMQodyJQDUn
    2019-06-25 01:14 - 2019-06-25 01:21 - 000000000 ____D C:\Program Files\U0DPTXP2GR
    2019-06-25 01:14 - 2019-06-25 01:20 - 000000000 ____D C:\Program Files\NAGB8VGXT6
    2019-06-25 00:27 - 2019-06-25 01:41 - 000002850 _____ C:\Windows\System32\Tasks\KTQyJFOoTqsshFJ2
    2019-06-25 00:26 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\sigpg2ncyor
    2019-06-25 00:26 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\2n0khvufquv
    2019-06-25 00:26 - 2019-06-25 00:33 - 000000000 ____D C:\Program Files\DQZ3TWXDOJ
    2019-06-25 00:10 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\zdxkmzqdpcs
    2019-06-25 00:10 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\oxysu5h3aex
    2019-06-25 00:10 - 2019-06-25 00:17 - 000000000 ____D C:\Program Files\5TNU9G7X8B
    2019-06-24 23:50 - 2019-06-25 00:46 - 000000004 _____ C:\ProgramData\lock.dat
    2019-06-24 23:50 - 2019-06-25 00:26 - 000000012 _____ C:\Users\Все пользователи\irw.atsd
    2019-06-24 23:50 - 2019-06-25 00:26 - 000000012 _____ C:\ProgramData\irw.atsd
    2019-06-24 23:50 - 2019-06-24 23:50 - 000000008 _____ C:\Users\Все пользователи\ts.dat
    2019-06-24 23:50 - 2019-06-24 23:50 - 000000008 _____ C:\ProgramData\ts.dat
    2019-06-24 23:49 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\hn0xo2mos5w
    2019-06-24 23:49 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\1rhnksolwef
    2019-06-24 23:49 - 2019-06-24 23:57 - 000000000 ____D C:\Program Files\PJZ9Y5UN8X
    2019-06-24 23:23 - 2019-06-24 23:23 - 000000000 ____D C:\Program Files (x86)\dlnVbkDrwIEzwmpJcxruj
    2019-06-24 23:23 - 2019-06-24 23:23 - 000000000 ____D C:\Program Files (x86)\dlnVbkDrwIERsFmjfJNjd
    2019-06-24 23:22 - 2019-06-24 23:22 - 002038887 _____ C:\Users\user\AppData\Local\Red-Core.tst
    2019-06-24 23:22 - 2019-06-24 23:22 - 000072787 _____ C:\Users\user\AppData\Local\MathHome.tst
    2019-06-24 23:22 - 2019-06-24 23:22 - 000070992 _____ C:\Users\user\AppData\Local\Config.xml
    2019-06-24 23:22 - 2019-06-24 23:22 - 000005568 _____ C:\Users\user\AppData\Local\md.xml
    2019-06-24 23:21 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\nbf0w10bcpr
    2019-06-24 23:21 - 2019-06-25 11:44 - 000000000 ____D C:\Users\user\AppData\Roaming\ejlse42rylv
    2019-06-24 23:21 - 2019-06-25 11:37 - 000000000 ____D C:\Program Files\VMU0YK8R7D
    2019-06-24 23:21 - 2019-06-25 11:37 - 000000000 ____D C:\Program Files\QCTHU1L01E
    FirewallRules: [{543DC385-DEFD-488C-ABF2-68D70C806AC3}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{3F4F2BC4-A9DB-4A10-96C1-6BE219B7623B}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [TCP Query User{A8ACA8B1-8F26-442B-B1AA-E13E5BBFACF6}C:\users\user\appdata\local\temp\iperf.exe] => (Allow) C:\users\user\appdata\local\temp\iperf.exe No File
    FirewallRules: [UDP Query User{9ED07491-073F-40DA-90C3-A5161C0B7F05}C:\users\user\appdata\local\temp\iperf.exe] => (Allow) C:\users\user\appdata\local\temp\iperf.exe No File
    FirewallRules: [TCP Query User{5DA7D4B5-DC15-44FE-8755-0C4174A6EE33}C:\users\user\appdata\local\temp\iperf.exe] => (Allow) C:\users\user\appdata\local\temp\iperf.exe No File
    FirewallRules: [UDP Query User{99A4A82C-FD6D-4F8A-9499-9CF28CAE0505}C:\users\user\appdata\local\temp\iperf.exe] => (Allow) C:\users\user\appdata\local\temp\iperf.exe No File
    FirewallRules: [{66EF5AB4-1618-44C9-8699-72A9B1F2DEF4}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{F0836CF7-1B37-4447-A4E6-DF33D218CB11}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{444D504E-C5DD-4835-8E36-F68FBD4720C3}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    FirewallRules: [{FA6704DA-525D-435A-B404-30578CA53E81}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
есть
 

Вложения

  • Fixlog.txt
    15.2 KB · Просмотры: 1
Что сейчас с проблемами? Кстати, вы не описали как проявлялось.
 
проявлялось тем, что каждые несколько минут, в течении 10-15 секунд открывалось 4-7 новых вкладок, постоянно предлагалось изменить поисковую систему, при поиске в яндексе первые найденные страницы выглядели как в гугле (шрифт, имею ввиду) а с середины окна опять были оформлены как в Яндексе) и еще что то по мелочам. Сейчас осталась только визуализация в Яндексе (через раз). Первая половина найденных страниц выглядит как в гугле, а со второй половиной все норм). В остальном все отлично! ОГРОМНОЕ СПАСИБО!!!
 
да....и сейчас, когда пытался начать писать ответ, реакции курсора не было и открылась одна вкладка 1хбет
 
После сброса настроек проблема ушла. Еще раз, спасибо! Всё супер!
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделано
Извините, поторопился. сейчас правильно сделаю. Я не перезагрузил компьютер(
 

Вложения

  • SecurityCheck.txt
    13.9 KB · Просмотры: 2
Исправьте по возможности. И еще раз напоминаю, смените пароли, их украли.
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
paint.net v.4.1.6
KeePass Password Safe 2.40 v.2.40 Внимание! Скачать обновления
K-Lite Codec Pack 13.8.4 Full v.13.8.4 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.3 (x86 ru) v.66.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.5.0038 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Web Companion v.4.5.1957.3838 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Голосовой помощник Алиса v.4.6.0.1790 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

По последнему блоку, если не используете, то деинсталлируйте.
 
AdwCleaner и FRST64.exe удалил, компьютер перезагрузил. Про пароли понял, сейчас сделаю.
 

Вложения

  • SecurityCheck.txt
    13.9 KB · Просмотры: 0
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу