• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Статус
В этой теме нельзя размещать новые ответы.

Zerol213

Пользователь
Сообщения
17
Реакции
0
Баллы
41
Помогите появился вирус MSI.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
c:\dupe hack by medols v.1 - сами ставили софт для удаленного управления?
ucbrowser - сами устанавливали?
Необходимо деинсталировать: UBar

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 StopService('SvcHost Service Host');
 StopService('Ea3Host');
 SetServiceStart('Ea3Host', 4);
 SetServiceStart('SvcHost Service Host', 4);
 QuarantineFile('C:\Users\Chicken\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Local\wmipr\wmipr.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Chicken\AppData\Local\indexer\indexer.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\Samp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
 QuarantineFile('c:\users\samp\appdata\local\yc\application\yc.exe','');
 QuarantineFile('c:\users\samp\appdata\local\wmipr\wmipr.exe','');
 QuarantineFile('c:\users\samp\appdata\roaming\sysfiles\vshub.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('c:\users\samp\appdata\local\temp\f4ca.tmp.exe','');
 QuarantineFile('c:\users\samp\appdata\local\temp\109.tmp.exe','');
 DeleteFile('c:\users\samp\appdata\local\temp\109.tmp.exe','32');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('c:\users\samp\appdata\local\temp\f4ca.tmp.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('c:\users\samp\appdata\roaming\sysfiles\vshub.exe','32');
 DeleteFile('c:\users\samp\appdata\local\wmipr\wmipr.exe','32');
 DeleteFile('c:\users\samp\appdata\local\yc\application\yc.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe','32');
 DeleteFile('C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Samp\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Users\Samp\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('C:\Users\Chicken\AppData\Local\indexer\indexer.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\indexer','64');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Samp\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\Users\Samp\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\Users\Samp\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\Samp\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\Samp\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\Users\Chicken\AppData\Roaming\driver\driver.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Defender','64');
 DeleteFile('C:\Users\Samp\AppData\Local\wmipr\wmipr.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\wmipr','64');
 DeleteFile('C:\Users\Chicken\AppData\Local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\wupdate','64');
 DeleteFile('C:\Windows\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Windows\microsoft\svchost.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1082804275-3284897082-2107601924-1001\Software\Microsoft\Windows\CurrentVersion\Run','mnagscburf');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1082804275-3284897082-2107601924-1001\Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_F92EDC2AEB376D46FF551AAAF3CACE02');
 DeleteService('SvcHost Service Host');
 DeleteService('Ea3Host');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll
O3-32 - Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Users\Samp\AppData\LocalLow\SearchGo\searchgo.dll
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Какие из IP принадлежат вашему провайдеру?
178.132.6.57
193.238.153.54
46.101.28.31
52.56.51.39
82.202.226.203
213.87.72.155
213.87.75.99
81.171.10.42
94.130.44.229

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Zerol213

Пользователь
Сообщения
17
Реакции
0
Баллы
41
dupe hack by medols v.1 я не знал что это софт для удалённого управления. Как его удалить?
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
dupe hack by medols v.1 я не знал что это софт для удалённого управления. Как его удалить?
Деинсталировать

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Dupe Hack by Medols V.1\rutserv.exe;C:\Dupe Hack by Medols V.1\rfusclient.exe;C:\Users\Samp\AppData\Roaming\Sysfiles\vshub.exe
    (TektonIT) C:\Dupe Hack by Medols V.1\rutserv.exe
    (TektonIT) C:\Dupe Hack by Medols V.1\rfusclient.exe
    C:\Dupe Hack by Medols V.1\
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1082804275-3284897082-2107601924-1000\...\MountPoints2: {257b5481-47ce-11e7-a19e-90a4de9c0102} - E:\AutoRun.exe
    InternetURL: C:\Users\Samp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AudioDriver.url -> URL: file:///C:\Users\Samp\AppData\Roaming\Sysfiles\vshub.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    R2 RManService; C:\Dupe Hack by Medols V.1\rutserv.exe [6300368 2016-06-18] (TektonIT) [File not signed]
    R2 UbarCalloutDriver; C:\Program Files\UBar\UbarDriver.sys [13896 2017-07-29] () <==== ATTENTION
    2017-08-25 14:27 - 2017-08-25 14:27 - 000000000 ____D C:\Users\Samp\AppData\Local\Chromium
    2017-08-25 14:23 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Roaming\curl
    2017-08-25 14:23 - 2017-08-25 14:23 - 000000000 ____D C:\Users\Samp\AppData\Local\Вoйти в Интeрнет
    2017-08-25 14:22 - 2017-08-25 18:11 - 000000000 ____D C:\Users\Samp\AppData\Local\yc
    2017-08-25 14:20 - 2017-08-25 14:20 - 000000000 ____D C:\Users\Samp\AppData\Local\wupdate
    2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\LocalLow\SearchGo
    2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Local\wmipr
    2017-08-25 14:18 - 2017-08-25 21:17 - 000000000 ____D C:\Users\Samp\AppData\Local\SearchGo
    2017-08-25 14:18 - 2017-08-25 14:18 - 000000000 ____D C:\Users\Samp\AppData\Local\ZaxarGameBrowser
    Task: {1E4D9278-5254-4A56-B0F7-78BD9BB4A29D} - \SearchGo Task -> No File <==== ATTENTION
    Task: {3D9F013B-F1AA-4E76-BE07-2F545280CB61} - \curl -> No File <==== ATTENTION
    Task: {694791E6-8A46-4B51-B328-7BE8F5390ECF} - \setupsk -> No File <==== ATTENTION
    Task: {8AF1F997-C6A7-4D83-9DA3-14690F94341F} - \wupdate -> No File <==== ATTENTION
    Task: {941E8E08-076D-49EC-B2B4-D9069842D704} - \curls -> No File <==== ATTENTION
    Task: {C0DDF6D1-8190-4B22-9CBA-2D88C9FAEA98} - \setupsk_upd -> No File <==== ATTENTION
    Task: {C300BC7C-0EA1-42F5-9EB2-651D14B1C047} - \Windows Defender -> No File <==== ATTENTION
    Task: {C339AA94-C290-47E0-B63C-455C5EB98A84} - \MSI -> No File <==== ATTENTION
    Task: {CE762915-6939-4C96-B111-0F9FCA536986} - \wmipr -> No File <==== ATTENTION
    Task: {E48EC842-BDB7-4851-BC05-64AC1C80E29A} - \indexer -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [432]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\Users\Chicken\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Chicken\Application Data:NT2 [432]
    AlternateDataStreams: C:\Users\Chicken\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Chicken\AppData\Roaming:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Оставшиеся открытые вопросы:
Какие из IP принадлежат вашему провайдеру?
178.132.6.57
193.238.153.54
46.101.28.31
52.56.51.39
82.202.226.203
213.87.72.155
213.87.75.99
81.171.10.42
94.130.44.229
ucbrowser - сами устанавливали?
 

Zerol213

Пользователь
Сообщения
17
Реакции
0
Баллы
41
IP не один не правельный. UCbrowser сам устонавливал.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Tcpip\..\Interfaces\{08A65680-5C48-4E50-822C-111E2E3ED9F3}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54
    Tcpip\..\Interfaces\{648FB5C1-3F5A-4703-9ADE-7DDA677E0B2B}: [NameServer] 213.87.75.99 213.87.72.155
    Tcpip\..\Interfaces\{B0A1456D-9AF3-4362-AB0B-299B18ABE36A}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54
    Tcpip\..\Interfaces\{B1874FEE-C39F-46A8-BFEC-37D177167553}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,193.238.153.54,82.202.226.203,81.171.10.42,94.130.44.229
    Tcpip\..\Interfaces\{C0AC2CE5-EAC8-4AEC-A17E-BFD1836EA5B4}: [NameServer] 213.87.72.155 213.87.75.99
    Tcpip\..\Interfaces\{D361A89F-2561-446B-9A69-CF3C5DD86586}: [NameServer] 213.87.72.155 213.87.75.99
    
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
И сделайте свежий лог FRST для контроля.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Что сейчас с проблемой?
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу