Решена Помогите удалить вирус.

Статус
В этой теме нельзя размещать новые ответы.

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
Доброго времени суток! Скачал книгу архивом, при распаковке началась какая то чудасия, выскакивать закладки в Хроме с рекламой, установка каких то программ, то одна, то по несколько. Скачал 360 total security, что то почистилось, зашел в планировщик задач, по удалял что казалось подозрительным. И таким способом удалось остановить рекламу. После нескольких дней, решил удалить "360", и сразу возобновился такой же процесс, только еще хуже, при открытии Opera, пошли установки не понятно чего, установился "UCBrowser" только на китайском, меняться вид рабочего стола, реклама в хроме продолжалась выскакивать хаотично. Вообщем комп начал сходить с ума) Планировщиком задач и повторные манипуляции с 360, приостановили проблему, а скачиванием Adwcleaner, все проблемы остановись, но остаются не решенными. Скачал Malwarebytes, но дальше решил не рисковать, а попросить помощи у специалистов. Также Adwcleaner, поместил некоторые файлы в карантин, такие как "ucdrv-x64.sys", но что это значит, и как с этим бороться дальше я незнаю. Помогите!!!)
 

Вложения

  • CollectionLog-2017.07.02-16.22.zip
    77.4 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Также Adwcleaner, поместил некоторые файлы в карантин, такие как "ucdrv-x64.sys", но что это значит, и как с этим бороться дальше я незнаю. Помогите!!!)
Восстановите из карантина.
+
Подготовьте лог AdwCleaner.
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Эти папки вам знакомы?
Код:
2017-07-02 11:21:50 ----D---- C:\Program Files\U7VFP9CWCW
2017-07-02 11:21:47 ----D---- C:\Program Files\V277T5E11O
2017-07-02 11:21:34 ----D---- C:\Program Files\2KTVT3SQAR
2017-07-02 11:21:11 ----D---- C:\Program Files\ZTSL2V9SXG
2017-07-02 11:21:30 ----D---- C:\Program Files (x86)\tp5d1turtgr
И эти папки вам знакомы?
Код:
2017-07-02 11:23:04 ----D---- C:\Users\Jon\AppData\Roaming\5c14945ed42b4d24bed7f6faf51b91ad
2017-07-02 11:21:48 ----D---- C:\Users\Jon\AppData\Roaming\lvftt5o0xx3
2017-07-02 11:21:38 ----D---- C:\Users\Jon\AppData\Roaming\ig0picxxtbt
2017-07-02 11:21:32 ----D---- C:\Users\Jon\AppData\Roaming\c4ljs1izmsh
2017-06-27 16:47:07 ----D---- C:\Users\Jon\AppData\Roaming\mhcgz4te0lw
2017-06-27 16:46:45 ----D---- C:\Users\Jon\AppData\Roaming\bhfjot5izxg
2017-06-27 16:46:39 ----D---- C:\Users\Jon\AppData\Roaming\xmlweafrt1n
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
Восстановите из карантина.
+
Подготовьте лог AdwCleaner.
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Эти папки вам знакомы?
Код:
2017-07-02 11:21:50 ----D---- C:\Program Files\U7VFP9CWCW
2017-07-02 11:21:47 ----D---- C:\Program Files\V277T5E11O
2017-07-02 11:21:34 ----D---- C:\Program Files\2KTVT3SQAR
2017-07-02 11:21:11 ----D---- C:\Program Files\ZTSL2V9SXG
2017-07-02 11:21:30 ----D---- C:\Program Files (x86)\tp5d1turtgr
И эти папки вам знакомы?
Код:
2017-07-02 11:23:04 ----D---- C:\Users\Jon\AppData\Roaming\5c14945ed42b4d24bed7f6faf51b91ad
2017-07-02 11:21:48 ----D---- C:\Users\Jon\AppData\Roaming\lvftt5o0xx3
2017-07-02 11:21:38 ----D---- C:\Users\Jon\AppData\Roaming\ig0picxxtbt
2017-07-02 11:21:32 ----D---- C:\Users\Jon\AppData\Roaming\c4ljs1izmsh
2017-06-27 16:47:07 ----D---- C:\Users\Jon\AppData\Roaming\mhcgz4te0lw
2017-06-27 16:46:45 ----D---- C:\Users\Jon\AppData\Roaming\bhfjot5izxg
2017-06-27 16:46:39 ----D---- C:\Users\Jon\AppData\Roaming\xmlweafrt1n
Восстановите из карантина.
+
Подготовьте лог AdwCleaner.
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Эти папки вам знакомы?
Код:
2017-07-02 11:21:50 ----D---- C:\Program Files\U7VFP9CWCW
2017-07-02 11:21:47 ----D---- C:\Program Files\V277T5E11O
2017-07-02 11:21:34 ----D---- C:\Program Files\2KTVT3SQAR
2017-07-02 11:21:11 ----D---- C:\Program Files\ZTSL2V9SXG
2017-07-02 11:21:30 ----D---- C:\Program Files (x86)\tp5d1turtgr
И эти папки вам знакомы?
Код:
2017-07-02 11:23:04 ----D---- C:\Users\Jon\AppData\Roaming\5c14945ed42b4d24bed7f6faf51b91ad
2017-07-02 11:21:48 ----D---- C:\Users\Jon\AppData\Roaming\lvftt5o0xx3
2017-07-02 11:21:38 ----D---- C:\Users\Jon\AppData\Roaming\ig0picxxtbt
2017-07-02 11:21:32 ----D---- C:\Users\Jon\AppData\Roaming\c4ljs1izmsh
2017-06-27 16:47:07 ----D---- C:\Users\Jon\AppData\Roaming\mhcgz4te0lw
2017-06-27 16:46:45 ----D---- C:\Users\Jon\AppData\Roaming\bhfjot5izxg
2017-06-27 16:46:39 ----D---- C:\Users\Jon\AppData\Roaming\xmlweafrt1n
Я прошу прощения, не совсем понимаю "Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению"
Отчет AdwCleaner высылаю, после восстановления из карантина.
Нет, эти папки мне точно не знакомы)
Вернее так)
 

Вложения

  • AdwCleaner[S4].txt
    15.7 KB · Просмотры: 4
  • AdwCleaner[C3].txt
    18 KB · Просмотры: 0

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Я прошу прощения, не совсем понимаю "Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению"
Перейдите по ссылке, там все подробно расписано. Вариант 1)
+
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
Нет, эти папки мне точно не знакомы)
Значит удалите их руками самостоятельно.
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
"Файлы" удалю)
 

Вложения

  • ClearLNK-02.07.2017_18-37.log
    6.2 KB · Просмотры: 1
  • AdwCleaner[C3].txt
    18 KB · Просмотры: 1

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41

Вложения

  • Addition.txt
    39.3 KB · Просмотры: 1
  • Shortcut.txt
    59.1 KB · Просмотры: 1
  • FRST.txt
    49.4 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF HKU\S-1-5-21-1742973563-914335925-2902178965-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Jon\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    FF Plugin HKU\S-1-5-21-1742973563-914335925-2902178965-1001: @acestream.net/acestreamplugin,version=3.1.16.1 -> C:\Users\Jon\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
    CHR Extension: (Adblocker for Youtube™) - C:\Users\Jon\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-02]
    OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Jon\AppData\Roaming\Opera Software\Opera Stable\Extensions\jenggbjfjblgmpcfejchbpnpineboigk [2017-07-02]
    CHR Extension: (Ace Stream Web Extension) - C:\Users\Jon\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2017-07-02]
    S3 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-03-07] () <==== ATTENTION
    2017-07-02 11:24 - 2017-07-02 11:24 - 00000000 ____D C:\Users\Jon\AppData\Local\UCBrowser
    2017-07-02 11:23 - 2017-07-02 11:24 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    Task: {11B143D1-9768-4E9E-A30A-44B9C55805D6} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\WRcuJCY.dll",#1 <==== ATTENTION
    Task: {FE263147-6FC3-4B22-B3B5-66542EDF8C02} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\WRcuJCY.dll",#1 <==== ATTENTION
    Task: C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job => C:\Program Files (x86)\YubeAlckU\WRcuJCY.dll <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
    FirewallRules: [{6D862924-0413-475B-A064-3BD3A5A6249F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{6A8194B4-4A20-419C-A728-4A53B11605E2}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    C:\Program Files (x86)\YubeAlckU\
    C:\Program Files (x86)\UCBrowser\
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
При выполнении команды "Fix" никаких отметок ставить не нужно было?
Кажется все сделал согласно инструкции) Кодировку поставил. Файл прикрепил.
 

Вложения

  • Fixlog.txt
    5.7 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
Что сейчас с проблемой?
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
Если есть желание, можете проверить, отчеты покажите.


Подробнее читайте в этом руководстве.

FAQ по работе с Malwarebytes Anti-Malware v. 3
При не выключеном Eset Not, Adwcleaner угроз не выявил, отчет прилагается. Выключил антивирус, запустил Malwarebytes, обнаружено 152 угрозы. Их удалять?
 

Вложения

  • Malware.txt
    28.6 KB · Просмотры: 2
  • AdwCleaner[C4].txt
    1.8 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
Да, удалите (поместите в карантин) все найденное. После этого сделайте еще раз лог сканирования MBAM и покажите его.
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
Да, удалите (поместите в карантин) все найденное. После этого сделайте еще раз лог сканирования MBAM и покажите его.
я прошу прощения, но у меня отсутствует кнопка "карантин", так, как указано в инструкции. во вложении скрин.
Так же, еще скрин, вредоносных ПО видит 3 штуки:
 

Вложения

  • Карантин.png
    Карантин.png
    141.5 KB · Просмотры: 19
  • Карантин-2.png
    Карантин-2.png
    123.3 KB · Просмотры: 27

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
Нажмите "Удалить выбранное"
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
Завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

James

Пользователь
Сообщения
11
Реакции
0
Баллы
41
Сделано!
 

Вложения

  • SecurityCheck.txt
    8.4 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,012
Реакции
2,428
Баллы
743
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу