• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Заявка №4

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
привет
знакомый попросил помочь, с тем, что лезет реклама в браузере, я подумал сейчас adw пройдусь и готово )))
но не тут то было, adw часть почистил, а остальное удаляет и после ребута опять появляется в local\app папки - amigo (хотя его нет), google, yandex, все с фейковым одинаковым файлом, еще и с системными правами на папки.
почистил еще часть mbam и кое-что hijack.
диагноз - постоянного ставились рекламные расширения в браузер.
для чистоты удалил браузеры.
начал чистить ручками, те три папки удалил, потом несколько с рандомными именами были в разных местах, progs, roaming и тд, все вычистил.
поставил оперу, все стало нормально, но возможно что-то и пропустил.
ps троянское расширение все время удаляло stop reclame )))

логи autologger делал в самом конце, остальные походу.
 

Вложения

  • 67.5 KB Просмотры: 1
Последнее редактирование:

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
домашняя.
а по старому логгеру ничего не сказать?
если нет, тогда придется подключиться по удаленке и снова сделать (((
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
сделал, посмотрел еще сам логи, пофиксил шедуль ведущий в папку мозилы, больше ничего не увидел.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Еще так посмотрим (в логах пока ничего плохого):

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
посмотрю тогда тоже )))
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {04db980e-df4f-11e7-9411-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {18f10408-058f-11e7-926e-d027887ec978} - G:\AutoRun.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {237c7c0a-0d8d-11e7-8c73-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {237c7c13-0d8d-11e7-8c73-0c5b8f279a64} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {33253aa9-3da7-11e7-af8a-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {3db0759b-e0eb-11e7-83a2-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {5193c47d-0f23-11e7-b30d-d027887ec978} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {5193c48b-0f23-11e7-b30d-0c5b8f279a64} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-169447225-240911817-2097713620-1000\...\MountPoints2: {6becf398-8e32-11e8-9f28-d027887ec978} - G:\HiSuiteDownLoader.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-169447225-240911817-2097713620-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {03EA8C19-7F7A-42E8-A47A-611DF7626C1F} - \Microsoft\Windows\Media Center\ActivateWindowsSearchNotification7A -> No File <==== ATTENTION
    Task: {053979B0-9DDC-463F-B923-88E3B635BDDD} - \Microsoft\Windows\3B518AC2FB1A61F58C424F1BC16CC253 -> No File <==== ATTENTION
    Task: {1FCC016D-0864-4D5B-9C15-5B84226B7658} - \Microsoft\Windows\MUI\LPRemovePLA -> No File <==== ATTENTION
    Task: {2BFF0378-2A5B-4C24-A8EB-8B9F5170081C} - \Microsoft\Windows\MUI\LPRemove Tcpip27 -> No File <==== ATTENTION
    Task: {2E1E1E3D-1A22-4CC9-97FB-7EA7EC593C6C} - \Microsoft\Windows\MUI\LPRemovePLA26 -> No File <==== ATTENTION
    Task: {2F27E000-6952-4B3E-8B5D-68BC00EF3A9B} - \Microsoft\Windows\WindowsBackup\ConfigNotificationData8E -> No File <==== ATTENTION
    Task: {46730198-F919-4444-B23A-1D721F57F278} - \Microsoft\Windows\WindowsBackup\ConfigNotification Setup -> No File <==== ATTENTION
    Task: {8DEF374A-0C35-49B7-A18F-601DF145297D} - \Microsoft\Windows\6E0EBADF4D47064FC4B0BDC0ABE2B5C8 -> No File <==== ATTENTION
    Task: {B4BCA74A-186C-4E04-8C3D-42FAA5CF1ED7} - \Microsoft\Windows\WindowsBackup\ConfigNotificationData -> No File <==== ATTENTION
    Task: {C279CC34-885A-4E2E-9F92-5678019A8D75} - \Microsoft\Windows\Media Center\ActivateWindowsSearchNotification -> No File <==== ATTENTION
    Task: {C6CFA03F-08F0-46A1-8E82-CEE47E29AD57} - \Microsoft\Windows\WindowsBackup\ConfigNotification Setup44 -> No File <==== ATTENTION
    Task: {E84E26FF-5E70-4338-A7F4-511E8FD3AF18} - \Microsoft\Windows\MUI\LPRemove Tcpip -> No File <==== ATTENTION
    Task: {EF0202C3-2F9A-4736-BB27-2BD3D85986F8} - \Microsoft\Windows\D532167CF5631FDC2EAF031975F168C9 -> No File <==== ATTENTION
    C:\Users\Home\AppData\Roaming\Opera Software\Opera Stable\Extensions\ogmkljdhkklhgedgbkgahmflgbdkcpfg
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
откуда в маунтпоинте триппер ))) если восстановление системы отрублено.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,981
Реакции
13,570
Баллы
2,203
откуда в маунтпоинте триппер ))) если восстановление системы отрублено.
Не связанные системы. В MountPoints2 хранится информация о автозапуске с съемных носителей. Что с пациентом?
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
а уже было все нормально, когда я тему создавал, просто были сомнения, что что-то пропустил.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Помечаем тему решенной?
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
ну, если все чисто по логам теперь?, то да.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
Чисто. Для верности хорошо бы посмотреть устаревшее ПО:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
из необходимо только fw обновить, остальное так, не принципиально.
 

Вложения

  • 5.5 KB Просмотры: 2
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,587
Реакции
1,858
Баллы
563
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления

Хотфиксы крайне желательно установить.
И дайте клиенту почитать Рекомендации после удаления вредоносного ПО
 

Wu-Tang

Эксперт клуба THG
Сообщения
171
Реакции
49
Баллы
418
первое заменено на KB3177467

ps друг дубовый в плане IT, так что ему что читай, что не читай ))) просто потом - а почему у меня реклама лезет, я ничего не делал )))
 
Сверху Снизу