Решена Троян! Срочно help!

Статус
В этой теме нельзя размещать новые ответы.

АлексейМусулев

Пользователь
Сообщения
20
Реакции
6
После скачивания подозрительного файла на компе появился троян:Diablo:, логи приложил, а также файл result.
 

Вложения

  • CollectionLog-2016.06.04-13.57.zip
    82.4 KB · Просмотры: 5
  • Result.txt
    876 байт · Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Деинсталлируйте следующее ПО:

SpyHunter 4 [2015/11/16 19:30:17]-->C:\Users\леша\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh
Supreme AdBlocker [20140222]-->"C:\ProgramData\Supreme AdBlocker\Supreme AdBlocker.exe" /progname=Supreme AdBlocker /progver=3.4.2 /progpub=Supreme AdBlocker /proguninstallurl=asdahjka.com /deleteappfolder=0 /deletefile2="C:\Program Files (x86)\Google\Chrome\Applicationupdate.dll" /deletefile3="C:\Program Files (x86)\Google\Chrome\Applicationchrome.dll" /deletefile4="C:\Users\леша\AppData\Local\Google\Chrome\Applicationupdate.dll" /deletefile5="C:\Users\леша\AppData\Local\Google\Chrome\Applicationchrome.dll" /VERYSILENT


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\леша\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\jynorggl.sys', '');
 QuarantineFile('C:\Windows\system32\DNSAPI.dll', '');
 DeleteFile('C:\Windows\system32\drivers\jynorggl.sys', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\леша\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate', '64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 DeleteService('jynorggl');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ktlbvasqqh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'KRB Updater Utility');
BC_ImportAll;
ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (утилита находится в папке C:\Users\леша\Desktop\Новая папка\AutoLogger\HiJackThis\HiJackThis.exe некоторые строки могут отсутствовать):
Код:
O1 - Hosts.ICS: 192.168.137.46 android-4d5b941f6f100d74.mshome.net # 2016 6 5 10 7 46 2 115
O1 - Hosts.ICS: 192.168.137.1
O1 - DNSApi: File is patched - C:\Windows\system32\dnsapi.dll
O1 - DNSApi: File is patched - C:\Windows\syswow64\dnsapi.dll
O2-64 - BHO: ReguilarDEals - {4EF498D0-B320-4FE2-81FB-C6B5C9CDA76C} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe" --getupdate-ppapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [KRB Updater Utility] "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S
O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O4-64 - HKCU\..\Run: [ktlbvasqqh] explorer "http://nintur.ru/?utm_source=uoua03&utm_content=3774b7bfab33d18f8d8141f16cadb5e6&utm_term=33B93A81F9458E1E3A463E5A8AEA5954&utm_d=20160603"
O4-64 - HKLM\..\Policies\Explorer\Run: [39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\B0C022B0-560B-4206-81E8-B8DC50683D55.exe" --getupdate-ppapi-plugin
O4-64 - HKLM\..\Policies\Explorer\Run: [KRB Updater Utility] "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S

- Перетащите лог Check_Browsers_LNK.log из папки с распакованным Autologger'ом на утилиту ClearLNK.

move.gif


Отчёт о работе прикрепите.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

АлексейМусулев

Пользователь
Сообщения
20
Реакции
6
вроде все правильно сделал
 

Вложения

  • ClearLNK-04.06.2016_15-27.log
    5.7 KB · Просмотры: 1
  • HiJackThis.log
    28 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
А где карантин на почте? Повторные логи? И эту строку:

O1 - DNSApi: File is patched - C:\Windows\system32\dnsapi.dll
O1 - DNSApi: File is patched - C:\Windows\syswow64\dnsapi.dll

фиксили?
 

АлексейМусулев

Пользователь
Сообщения
20
Реакции
6
карантин я отправил с помощью формы, да фиксил,но там большинства нужных строк не было, повторный лог надо сделать в Autologger?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
По форме не дошел продублируйте на почту.

Именно эти две строки проверьте снова в HiJack

Да повторный лог автологгера и

+

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

АлексейМусулев

Пользователь
Сообщения
20
Реакции
6
на почту прислал
 

Вложения

  • ClearLNK-04.06.2016_16-53.log
    3.1 KB · Просмотры: 1
  • HiJackThis.log
    28.3 KB · Просмотры: 3
  • ClearLNK-04.06.2016_16-53.log
    3.1 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    20.7 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Прочтите внимательнее, что нужно сделать и какой нужен лог с буквой C а не S
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Да этот, уже все лучше.

Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


    B92LqRQ.png


  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Подробнее читайте в этом руководстве.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%\"
CreateRestorePoint:
HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\...\Run: [AdobeBridge] => [X]
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX64.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\леша\AppData\Local\MEGAsync\ShellExtX32.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
BHO-x32: Research Bar -> {AEF595EA-2BEF-4F13-9D57-031060958C69} -> C:\Program Files\MTI\ResearchBarIE\TNSbar.dll => No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1089988304-2270247092-1082221458-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF NetworkProxy: "type", ""
CHR HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cfddaegnkmjagelbdokgchblpjdneglm] - C:\Users\леша\AppData\Local\Metabar\metabar-fc-zenit.crx <not found>
CHR HKU\S-1-5-21-1089988304-2270247092-1082221458-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pbnhjaeolclgbofikfkagcgocgkbmkkh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-06-03 20:47 - 2016-06-04 18:18 - 00000346 _____ C:\Windows\Tasks\PED_Torrent_Search.job
2016-06-03 20:47 - 2016-06-03 20:47 - 00003366 _____ C:\Windows\System32\Tasks\PED_Torrent_Search
2016-06-03 20:47 - 2016-06-03 20:47 - 00000000 ____D C:\Users\Все пользователи\Torrent_Search_PED
2016-06-03 20:47 - 2016-06-03 20:47 - 00000000 ____D C:\ProgramData\Torrent_Search_PED
2016-06-03 20:44 - 2016-06-03 20:44 - 00000000 ____D C:\Users\леша\AppData\Local\Вoйти в Интeрнет
2016-06-03 20:39 - 2016-06-03 20:39 - 00000000 ____D C:\Users\леша\AppData\Local\Поиcк в Интeрнете
2016-06-03 20:38 - 2016-06-03 20:47 - 00000000 ____D C:\Users\леша\AppData\Roaming\Checkers
2016-06-03 22:33 - 2014-01-31 23:05 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2016-06-03 22:33 - 2014-01-31 23:05 - 00000258 __RSH C:\ProgramData\ntuser.pol
2016-06-03 20:46 - 2009-07-14 07:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2013-10-08 15:13 - 2013-10-08 15:13 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
Task: {10B3FE48-A03C-42A1-BE52-91319EA333DA} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {116F1E13-0853-485E-A138-274FC7C296BD} - System32\Tasks\PED_Torrent_Search => Rundll32.exe VsuhDd9.dll,#67
Task: {A06B2F6B-504A-48F6-B9C2-3DFC41A97BD7} - \DNSKINGSTON -> No File <==== ATTENTION
Task: {AAA27A62-EA4D-4B25-B9B2-67776FF54B75} - \Microsoft\Windows\A39FAEEFE-DEC3-4BF8-B55F-D45D87A1CAD6 -> No File <==== ATTENTION
Task: {D5F7C8A9-2EF7-4E14-9614-CB8A3C0DB4DD} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {DF4EAE4B-DCAD-49EE-A808-E62D23F7A293} - \DigitalSite -> No File <==== ATTENTION
Task: C:\Windows\Tasks\PED_Torrent_Search.job => C:\ProgramData\Torrent_Search_PED\rundll32.exeVsuhDd9.dll
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [264]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [264]
AlternateDataStreams: C:\Users\леша\Local Settings:wa [178]
AlternateDataStreams: C:\Users\леша\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\леша\AppData\Local\Application Data:wa [178]


cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
cmd: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Что с проблемами?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Ну как-то вы поняли, что заразились.
 

АлексейМусулев

Пользователь
Сообщения
20
Реакции
6
Вроде все очистилось) теперь ничего не вылезает) круто, спасибо вам большое! Как вас можно отблагодарить?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
http://safezone.cc/threads/zhelajuschim-podderzhat-proekt.1772/

+

http://safezone.cc/threads/kniga-otzyvov.23482/

напоследок:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу