• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Статус
В этой теме нельзя размещать новые ответы.

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
При работе в браузере, через какое-то время, автоматом открывается новая вкладка"Вулкан"
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
fseto, через панель управления удалите следующее ПО:
Код:
Calculator
Video and Audio Plugin UBar
Приложение Unity Web Player вам знакомо?

Посмотрите что в этой папке C:\ProgramData\USOShared?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Armen\AppData\Roaming\daemon2.exe', '');
QuarantineFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '');
QuarantineFile('c:\program files\windowsapps\microsoft.messaging_2.13.20000.0_x86__8wekyb3d8bbwe\skypehost.exe', '');
QuarantineFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
QuarantineFile('C:\WINDOWS\system32\Updater.exe', '');
QuarantineFileF('C:\Program Files (x86)\Unigine\Valley Benchmark 1.0', 'browser_x86.exe', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\Armen\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Kinoroom Browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM_OL', '64');
DeleteFile('C:\Users\Armen\appdata\local\systemdir\nethost.exe', '32');
DeleteFile('C:\Users\Armen\appdata\roaming\daemon2.exe', '32');
DeleteFile('C:\Users\Armen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Kinoroom Browser.lnk', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\systemdir', '*', true);
DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\systemdir');
DeleteDirectory('C:\ProgramData\KRB Updater Utility');
DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Последнее редактирование:

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
Привет)
удалите следующее ПО
Удалил.

Приложение Unity Web Player вам знакомо?
Знакомо, но тоже удалил.

Посмотрите что в этой папке C:\ProgramData\USOShared?
Не понятно. Посмотрите в прикрепленном файле Заметка1

Остальное сделал.
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
Привет)
Не понятно. Посмотрите в прикрепленном файле Заметка1
там все файлы формата etl? В таком формате хранит свои журналы Windows. По всей видимости это какая то их часть, возможно логи обновлений.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found : C:\Users\Armen\AppData\Local\Yandex
    Folder Found : C:\Users\Armen\AppData\LocalLow\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Yandex
    Folder Found : C:\Users\Armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
    Так же снимите галочки и с этих строк, но если продуктами mail и Амиго не пользуетесь можете не снимать
    Код:
    Folder Found : C:\Program Files (x86)\Mail.Ru
    Folder Found : C:\ProgramData\Mail.Ru
    Folder Found : C:\Users\Armen\AppData\Local\Amigo
    Folder Found : C:\Users\Armen\AppData\Local\Mail.Ru
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Не сделали повторные логи по правилам!!
 

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463

Вложения

Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
fseto, расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
Игру WURM устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM', '');
QuarantineFileF('C:\Users\Armen\appdata\local\microsoft\extensions', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E\D7134B0C-7F1C-4E91-AACD-76FB2F813BEF.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser', '64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E', '64');
DeleteFile('C:\Users\Armen\AppData\Roaming\WindowsUpdater', '32');
DeleteFile('C:\Users\Armen\appdata\local\microsoft\extensions\extsetup.exe', '32');
DeleteFileMask('C:\Users\Armen\appdata\local\microsoft\extensions', '*', true);
DeleteFileMask('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E', '*', true);
DeleteDirectory('C:\Users\Armen\appdata\local\microsoft\extensions');
DeleteDirectory('C:\ProgramData\Microsoft\Adobe\Flash Player\56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '56A77F13-AFED-4806-9F84-89E6D834720E');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
расширение в Google CHrome nlipoenfbbikpbjkfpfillcgkoblgpmj 1 Goodsmart 104.5.2.127 ваше?
не надо никаких расширений.

Игру WURM устанавливали?
точно сказать не могу, но в Программы и компоненты не вижу, так что, можно удалить. Возможно оставшиеся файлы.
 

Вложения

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
то есть незнакомо?
нет.

авз не может закарантинить, пробую по инструкции, получается папка пустая. АВЗ выдает :
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (updater.exe)
Карантин с использованием прямого чтения - ошибка
Заархивировал в ручную в вин рар и отправил на quarantine <at> safezone.cc, но если не ошибаюсь у них фильтр, который принимает только архив сделанный самим АВЗ.
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
fseto, на архив пароль поставили?
письмо не дошло, заархивируйте, выложите на какой нибудь файлообменник и дайте ссылку мне в личку.
 

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
на архив пароль поставили?
разумеется. (virus)
дайте ссылку мне в личку.
если это принципиально, то нужно чтоб вы были онлайн. Последние несколько дней форум не работает должным образом. искал вас у др. пользователей в подписчиках, но увы.
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
нужен файл, можете его самостоятельно проверить на вирустотал и дать ссылку прямо здесь, а так я всегда онлайн, потому что на работе всегда остается страница с открытой вкладкой.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
Task: {30905458-F43B-4DD0-A0B9-21762D470F9C} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {33398E93-D224-41DB-9751-FA7B94AFF2AE} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {4527ABE6-D760-4950-90DC-036A2CF3ADBB} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {545B4B53-F090-42A3-8546-6B73A4B6B982} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {89DD811B-813F-45E8-8A32-D23E93EE8065} - \Microsoft\Windows\A56A77F13-AFED-4806-9F84-89E6D834720E -> No File <==== ATTENTION
Task: {8E7ADBE4-A281-4CB9-A3BA-17DA8D0D63F9} - System32\Tasks\Microsoft\Windows\extsetup => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {B8A42074-F1BF-4B95-8C70-5F3926B46685} - \Microsoft\Windows\WURM\ATWURM_OL -> No File <==== ATTENTION
Task: {BFAC2C16-EBBD-40CC-AD11-E19DC8B64AA7} - System32\Tasks\Microsoft\Windows\WURM\ATWURM => cmd
Task: {C89F6539-4787-4E09-842B-61748B6150C9} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {F328EC24-3746-4612-BE5B-F4F11BF837CC} - System32\Tasks\Microsoft\Windows\SafeBrowser => C:\Users\Armen\AppData\Local\Microsoft\Extensions\extsetup.exe
Task: {FA542658-A82E-4889-B31E-2E62E6C341FA} - \Microsoft\extsetup -> No File <==== ATTENTION
FirewallRules: [{A110C010-8EE6-4525-B114-43691248F7C9}] => (Allow) C:\Users\Armen\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{C0300D8A-1269-47D6-A6AB-6AFCF1C468E9}] => (Allow) C:\Program Files\UBar\ubar.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Kometa
2016-01-26 20:16 - 2016-01-26 20:16 - 00000000 ____D C:\Users\Armen\AppData\Local\Amigo
2016-01-24 20:39 - 2016-01-25 00:27 - 00000000 ____D C:\Users\Armen\AppData\Roaming\Calculator
2016-01-24 20:37 - 2016-01-24 20:37 - 00000000 ____D C:\Users\Armen\AppData\Local\Поиcк в Интeрнете
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\LocalLow\Unity
2016-01-24 20:34 - 2016-01-25 00:26 - 00000000 ____D C:\Users\Armen\AppData\Local\Unity
2016-01-24 20:34 - 2016-01-24 20:34 - 00000000 ____D C:\Users\Armen\AppData\Roaming\MailProducts
2016-01-26 01:26 - 2016-01-26 01:26 - 0000000 _____ () 
SearchScopes: HKU\S-1-5-21-3267805165-2103882178-1324926663-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD7095CA8-3E17-4414-9DE5-B03760E92FF8%7D&gp=801510
C:\Users\Armen\AppData\Roaming\smw_inst
cmd: del /Q C:\Users\Armen\AppData\Roaming\WindowsUpdater
cmd: del /Q C:\Users\Armen\AppData\Local\Microsoft\Extensions
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\SafeBrowser
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup
cmd: del /Q C:\WINDOWS\system32\Tasks\Microsoft\Windows\WURM\ATWURM
CHR Extension: (SyncGround) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
CHR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
OPR Extension: (SyncGround) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf [2016-01-26]
OPR Extension: (Smart Browser™) - C:\Users\Armen\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2016-01-25]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сделайте еще раз повторные логи по правилам.
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
fseto, в Хроме все равно кривые расширения. Попробуйте воспользоваться средством очистки

Скачайте инструмент очистки Google Chrome Chrome Cleanup Tool

Запустите инструмент очистки Chrome и он проверит ваш компьютер на наличие программ, которые Google считает "подозрительными" или "как известно, вызывают проблемы с Chrome", и предложит их удалить в случае обнаружения.

После завершения удаления, Chrome Cleanup Tool запустит браузер Chrome с командой chrome://settings/resetProfileSettings, которая предложит сбросить все настройки Chrome. Нажмите "Сбросить" и Google Chrome будет сброшен на настройки по умолчанию, или просто закройте окно, чтобы сохранить настройки.
 

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
463
вот это конечно странно, Хрома нет на компе, но расширения вижу в frst. Хотя, возможно хром был удален, а хвосты остались.
апустите инструмент очистки Chrome
Инструмент очистки:
ничего не найдено.
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
вот это конечно странно, Хрома нет на компе
На это я не обратил внимания.
но расширения вижу в frst
потому что FRST проверил папки и нашел расширения в них.
В этой папке C:\Users\Armen\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences что есть?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу