• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирусы на компьютере

Статус
В этой теме нельзя размещать новые ответы.

Elena

Пользователь
Сообщения
5
Реакции
0
Баллы
41
Доброго времени суток! Ребята, прошу помочь с вирусами на компьютере. В частности самооткрывающиеся вкладки в Chrom'e, сбой активации Windows, 2 раза при включении открывался просто голый розовый экран, без ярлыков и т.д. Не знаю, что делать, винду менять не очень хочется. Файл с логами прикрепила ниже
 

Вложения

  • CollectionLog-2017.10.14-21.46.zip
    82.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,430
Реакции
13,392
Баллы
2,203
Что устанавливали перед возникновением проблем? Amigo сами устанавливали? Если нет удалите. Удалите Zaxar Browser (если нет возможности удалить штатными средствами сообщите об этом, удалим вручную)
85.142.148.1 - ваш провайдер?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SetServiceStart('clsid34928', 4);
 StopService('clsid34928');
 QuarantineFile('C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll', '');
 QuarantineFile('C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll', '');
 QuarantineFile('C:\ProgramData\system64\UsersControlService.exe', '');
 QuarantineFile('C:\Program Files (x86)\Miped\QWiget\THIS IS WIIIGET!.exe', '');
 QuarantineFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('C:\ProgramData\system32\UsersControl.exe', '');
 QuarantineFile('c:\users\Елена\appdata\roaming\mp3tagapp2\mp3tagapp.exe', '');
 QuarantineFile('c:\programdata\system32\crashhandlerservice.exe', '');
 QuarantineFile('c:\programdata\clsid34928.exe', '');
 DeleteFile('c:\programdata\system32\crashhandlerservice.exe', '32');
 DeleteFile('C:\ProgramData\system32\UsersControl.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe', '32');
 DeleteFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '32');
 DeleteFile('C:\ProgramData\clsid34928.exe', '32');
 DeleteFile('C:\ProgramData\system64\UsersControlService.exe', '32');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Mp3tagApp2\Mp3tagApp.exe', '32');
 DeleteFile('C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\BYkucKAbLoZInYF', '64');
 DeleteFile('C:\Windows\system32\Tasks\BYkucKAbLoZInYF2', '64');
 DeleteFile('C:\Windows\system32\Tasks\urlopener', '64');
 DeleteFile('C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\zXHETIgCcYWbiA', '64');
 DeleteService('clsid34928');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'THIS IS WIIIGET!');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UsersControl');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\UUMEfTWNyIE\tEbUxotx.dll
O4 - HKCU\..\Run: [Mp3tagApp] C:\Users\Елена\AppData\Roaming\Mp3tagApp2\Mp3tagApp.exe
O4 - HKCU\..\Run: [THIS IS WIIIGET!] C:\Program Files (x86)\Miped\QWiget\THIS IS WIIIGET!.exe (file missing)
O4 - HKCU\..\Run: [UsersControlService] C:\ProgramData\system64\UsersControlService.exe
O4 - HKCU\..\Run: [UsersControl] C:\ProgramData\system32\UsersControl.exe
O22 - Task (Queued): urlopener - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://thetraff.ru"
O22 - Task (Ready): BYkucKAbLoZInYF - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
O22 - Task (Ready): BYkucKAbLoZInYF2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
O22 - Task (Ready): zXHETIgCcYWbiA - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll",#1

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Elena

Пользователь
Сообщения
5
Реакции
0
Баллы
41
Вспомнила, что в основном все проблемы начались после моих попыток восстановить слетевшую активацию Windows. Amigo удалила, устанавливался он самостоятельно. Zaxar удалить не получилось, не могу найти его в списке программ, а в корне папки деинсталлятора нет.
Насчет провайдера не знаю, информацию о нем прикреплю скриншотом, мой айпи - 85.142.149.109
Сделала все, что вы сказали. В утилите HiJackThis совпала только одна строка с тем, что вы написали.
Прикрепляю отчет из ADWCleaner'a и скриншот (провайдер)
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    17.2 KB · Просмотры: 13
  • AdwCleaner[S0].txt
    8.2 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,430
Реакции
13,392
Баллы
2,203
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Elena
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Elena

Пользователь
Сообщения
5
Реакции
0
Баллы
41
Готово.
Отчеты прикрепила ниже.
 

Вложения

  • Addition.txt
    33.4 KB · Просмотры: 1
  • FRST.txt
    25.1 KB · Просмотры: 1
  • Shortcut.txt
    68.3 KB · Просмотры: 1
  • AdwCleaner[C0].txt
    7.2 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,430
Реакции
13,392
Баллы
2,203
Elena, Browser Manager тоже деинсталируйте. Раз уж решили удалить mail.ru, то и я буду удалять хвосты.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\ProgramData\clsid61294.exe;C:\Users\Все пользователи\clsid61294.exe
() C:\ProgramData\clsid61294.exe
C:\ProgramData\clsid61294.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2648966139-1870286196-2550019759-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B36F7AEA6-FE2F-4004-BD43-0C9B5D678158%7D&gp=811041
SearchScopes: HKU\S-1-5-21-2648966139-1870286196-2550019759-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B36F7AEA6-FE2F-4004-BD43-0C9B5D678158%7D&gp=811041
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B067F40AB-E03F-4B32-A9C8-A16466202948%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-09-06]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-09-06]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-06]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820321"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE1A72F35-D693-4343-9562-F6822DFA7026%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
R2 clsid61294; C:\ProgramData\clsid61294.exe [1110720 2017-09-06] () <==== ATTENTION
S2 BitStreamSvc; %SystemRoot%\System32\bstreamsvc.dll [X]
C:\Windows\System32\bstreamsvc.dll
S2 optsatadc; %SystemRoot%\System32\optsatadc.dll [X]
C:\Windows\System32\optsatadc.dll
2017-10-15 17:11 - 2017-09-06 01:59 - 001110720 _____ C:\Users\Все пользователи\clsid61294.exe
2017-10-15 17:11 - 2017-09-06 01:59 - 001110720 _____ C:\ProgramData\clsid61294.exe
2017-09-21 01:56 - 2017-10-15 17:27 - 000000000 ____D C:\Program Files (x86)\UUMEfTWNyIE
2017-09-21 01:56 - 2017-10-15 17:11 - 000000000 ____D C:\Program Files (x86)\JgBxoaZwmZRU2
2017-09-20 23:43 - 2017-10-15 17:11 - 000000000 ____D C:\Program Files (x86)\PieSfXRZU
2017-09-20 23:43 - 2017-09-21 01:55 - 000000000 ____D C:\Users\Елена\AppData\Local\boPtdlZMxiKPIDyxr
2017-09-20 23:43 - 2017-09-20 23:43 - 000000000 ____D C:\Program Files (x86)\ZeLAiWbMkaUn
2017-09-20 23:43 - 2017-10-15 19:16 - 000000292 _____ C:\Windows\Tasks\BYkucKAbLoZInYF.job
Task: {0C550AD7-B9F1-4A2F-9B28-677B8EB1FB30} - \urlopener -> No File <==== ATTENTION
Task: {28AEE1B9-65C5-4E7E-8999-F335F9FB072F} - \BYkucKAbLoZInYF2 -> No File <==== ATTENTION
Task: {8BBB6826-CD34-4B3F-A226-8CBDB3153B1B} - \zXHETIgCcYWbiA -> No File <==== ATTENTION
Task: {CB432645-2CF7-41F6-9B5C-97354D1A33E3} - System32\Tasks\internet-lifeorggolets => C:\Users\Елена\AppData\Local\Amigo\Application\amigo.exe
Task: {DDB618D7-F468-4A02-B665-542539F6B1CD} - System32\Tasks\jurnal-onlyorgntech => C:\Users\Елена\AppData\Local\Amigo\Application\amigo.exe
Task: {ECE2DAFF-E1E5-42EF-ACF2-FA4B21435905} - \BYkucKAbLoZInYF -> No File <==== ATTENTION
Task: C:\Windows\Tasks\BYkucKAbLoZInYF.job => C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
После лечения, обязательно смените важные пароли, злоумышленники могли иметь доступ к вашему компьютеру.
 

Elena

Пользователь
Сообщения
5
Реакции
0
Баллы
41
Сделала, отчет прикрепила
 

Вложения

  • Fixlog.txt
    10.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,430
Реакции
13,392
Баллы
2,203
Какие проблемы еще остались?
 

Elena

Пользователь
Сообщения
5
Реакции
0
Баллы
41
всё супер!!!!!!!! спасибо Вам огромное)))))))))))
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,867
Реакции
2,109
Баллы
643
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу