Решена Вирус в GoogleUpdate

Статус
В этой теме нельзя размещать новые ответы.

idiscodancer

Новый пользователь
Сообщения
31
Реакции
0
Здравствуйте. После установки Timeviewer, при открытии браузера стали появятся сообщения, "Поздравляем! Вы сегодняшний счастливый посетитель". Удаление Timeviewer не помогло, восстановление системы тоже, антивирус ничего не находит. Заметил, что если почистить реестр, то до перезарузки эти сообщения исчезают, если остановить процесс GoogleUpdate тоже проходит. В установленных программах ничего подозрительного не нашел. Подскажите, что это может быть и как с этим бороться. Спасибо.
 
idiscodancer, эти расширения в Google Chrome вам знакомы?
Extension dkpejdfnpdkhifgbancbammdijojoffk 1 Logitech Smooth Scrolling 6.65.62
Extension gighmmpiobklfepjocnamgkkbiglidom 0 AdBlock 2.53
Extension hanjiajgnonaobdlklncdjdmpbomlhoa 1 MusicSig vkontakte 3.1.15


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files\google\googleupdate.exe');
 QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.ahk','');
 QuarantineFileF('C:\Program Files\Google', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 DeleteFile('C:\Program Files\Google\GoogleUpdate.exe', '32');
 DeleteService('gupdatem');
 DeleteService('gupdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Google Services');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Логи повторной диагностики и отчет AdwCleaner
idiscodancer, эти расширения в Google Chrome вам знакомы?
Extension dkpejdfnpdkhifgbancbammdijojoffk 1 Logitech Smooth Scrolling 6.65.62
Extension gighmmpiobklfepjocnamgkkbiglidom 0 AdBlock 2.53
Extension hanjiajgnonaobdlklncdjdmpbomlhoa 1 MusicSig vkontakte 3.1.15

Да, эти расширения сам ставил, первое это для мыши, качал с офсайта, второе блокиратор рекламы, третье для скачивания музыки.
Спасибо большое. После выполнения всех вышеописанных действий, больше сообщений не появляется и процесс GoogleUpdate тоже сам собой не запускается.
 

Вложения

  • CollectionLog-2016.03.28-12.00.zip
    113.5 KB · Просмотры: 0
  • AdwCleaner[S1].txt
    1.2 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Отчет
 

Вложения

  • AdwCleaner[C1].txt
    1.5 KB · Просмотры: 2
idiscodancer, посмотрите содержимое этой папки пожалуйста C:\Program Files\Google.
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Большое спасибо за помощь! Без вас я бы не справился!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу