Решена Вирус блокирует все, что можно...2

Статус
В этой теме нельзя размещать новые ответы.

rainbled

Участник
Сообщения
63
Реакции
23
Здравствуйте! Собственно, тоже самое что и было до этого https://safezone.cc/threads/virus-blokiruet-vse-chto-mozhno.32448/
Не бываю дома долгое время, младший братишка скачивает всякую лабуду, антивируса не стоит, так как серфить умею, а он нет...
Пробывал проделывать шаги по старой теме, но что-то в обычном режиме автологгер не запускается потом...
 

Вложения

  • CollectionLog-2019.01.20-11.58.zip
    51.4 KB · Просмотры: 6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\castle\AppData\Local\Microsoft\Windows\1033\libgzl.dll', '');
QuarantineFile('C:\Users\castle\AppData\Local\Temp\gkernel.sys', '');
QuarantineFile('C:\Users\castle\AppData\Local\ОК Игры\OKApp.exe', '');
QuarantineFile('C:\Windows\SysWOW64\tEhyYC.exe', '');
DeleteFile('C:\Windows\SysWOW64\tEhyYC.exe', '64');
DeleteSchedulerTask('{1FBE885F-B975-8EFB-F8D4-549E02BDF241}');
DeleteSchedulerTask('{53580DC1-0CAB-5329-C04D-9F494C8B7265}');
DeleteSchedulerTask('{92F5517E-70C2-05E9-4FBE-36AACD43DD58}');
DeleteSchedulerTask('{A9F05AD5-E2F7-8D6D-4E89-B57D8481758D}');
DeleteSchedulerTask('{B28CD804-B841-0DA0-0412-482FCE8442E6}');
DeleteSchedulerTask('{E43BED22-E700-6FEA-2019-594D04E1B4C4}');
DeleteSchedulerTask('{FF3605E3-2944-1CD7-D658-343A4724B288}');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClearTemp', 'x64');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vulkan 1.0.3.1\Demos\vulkaninfo32.lnk"    -> ["C:\Program Files (x86)\VulkanRT\1.0.3.1\vulkaninfo32.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vulkan 1.0.3.1\Demos\vulkaninfo.lnk"      -> ["C:\Program Files (x86)\VulkanRT\1.0.3.1\vulkaninfo.exe"]
>>>  "C:\Users\castle\Desktop\Nounverber - Paperthemes (2015)\OBS Studio.lnk"    -> ["C:\Program Files (x86)\obs-studio\bin\64bit\obs64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\Uninstall.lnk"       -> ["C:\Program Files (x86)\obs-studio\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\OBS Studio (64bit).lnk"        -> ["C:\Program Files (x86)\obs-studio\bin\64bit\obs64.exe"]
>>>  "C:\Users\castle\AppData\Local\uBar.lnk"      -> ["C:\ProgramData\uBar\uBar\uBar.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk"         -> ["C:\Program Files (x86)\RaidCall.RU\raidcall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk"         -> ["C:\Program Files (x86)\RaidCall.RU\uninst.exe"]


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


младший братишка скачивает всякую лабуду
Создать учетку без прав администратора + родительский контроль.
 
Последнее редактирование:
Насчет прав даже и не подумал, спасибо за совет!

Как я понял мое корыто залатали? )
 

Вложения

  • ClearLNK-2019.01.20_13.29.31.log
    3 KB · Просмотры: 1
  • CollectionLog-2019.01.20-13.34.zip
    51.2 KB · Просмотры: 2
Как я понял мое корыто залатали? )
Только симптомы сняли. Остальное как раз проверяем

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Только симптомы сняли. Остальное как раз проверяем

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Вложения

  • AdwCleaner[S00].txt
    3.2 KB · Просмотры: 1
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Извиняюсь, что долго. нужно было отойти.
B ADW два отчета появилось, поэтому прикрепил оба
 

Вложения

  • AdwCleaner[S01].txt
    3.3 KB · Просмотры: 0
  • AdwCleaner[C01].txt
    3 KB · Просмотры: 1
  • Addition_20-01-2019 17.23.13.txt
    156.8 KB · Просмотры: 1
  • FRST_20-01-2019 17.23.13.txt
    28.2 KB · Просмотры: 2
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    Task: {A17CCD36-EA58-478C-A086-3BCAA1A97522} - System32\Tasks\UpdaterProBrowser => C:\Users\castle\AppData\Local\UpdaterProBrowser\UpdaterProBrowser.exe [2018-07-03] () <==== ATTENTION
    FirewallRules: [{D5E8F077-9AA4-493B-BC35-4ADEA3D04166}] => (Allow) LPort=42127
    FirewallRules: [{C7FF93F6-0FF4-4A7D-9BBB-60DAC13F3592}] => (Allow) LPort=3659
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Подготовьте лог SecurityCheck by glax24
 
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 
Я накосячил и первый раз фрост запустил, скопировав текст в окне программы в поиск... Но второй раз уже по инструкции, надеюсь это не повлияет на исход.
 

Вложения

  • SecurityCheck.txt
    16.6 KB · Просмотры: 1
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4480970 Внимание! Скачать обновления
HotFix KB4487345 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (32-bit) v.5.21.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 PPAPI v.30.0.0.113 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------
 
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
что-то не нашел его в расширениях и нигде вообще... как удалить-то?)

А теперь у меня я так понял все нормально доктор?:
 
что-то не нашел его в расширениях и нигде вообще... как удалить-то?)
Это часть скайпа, и скорее всего смотреть расширения IE нужно. Если не используете IE, можно проигнорировать.
А теперь у меня я так понял все нормально доктор?:
Больше ничего вредоносного не наблюдаю.


Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу