Решена Заражен explorer.exe, новые ярлыки на рабочем столе и в меню пуск.

Р

_Роман_

Новый пользователь
Сообщения
11
Реакции
0
Добрый день!
На рабочем столе и в меню пуск появились ярлыки "Crossout", "World of tank" и "World of warship". При их запуске открываются страницы в браузере с соответствующими играми. С рабочего стола и из папки на диске "С" они удаляются, но из меню пуск никак. Так же появилось несколько неизвестных процессов в автозапуске.
Видел, что подобная тема уже создавалась пару месяцев назад. Почитал, подготовил все необходимые файлы которые были использованы в той теме, но код вводить не стал, так как он может мне не подойти.
Все файлы во вложении.
Вот hijackthis.log
 

Вложения

  • Addition.txt
    65.4 KB · Просмотры: 11
  • FRST.txt
    97.6 KB · Просмотры: 12
  • Screenshot_1.jpg
    Screenshot_1.jpg
    54.5 KB · Просмотры: 97
  • Screenshot_2.jpg
    Screenshot_2.jpg
    20.5 KB · Просмотры: 92
  • Screenshot_3.jpg
    Screenshot_3.jpg
    8.3 KB · Просмотры: 93
  • Screenshot_4.jpg
    Screenshot_4.jpg
    27.1 KB · Просмотры: 105
  • Screenshot_6.jpg
    Screenshot_6.jpg
    61 KB · Просмотры: 104
  • Screenshot_5.jpg
    Screenshot_5.jpg
    27.4 KB · Просмотры: 96
  • Shortcut.txt
    82.6 KB · Просмотры: 10
  • Копии ярлыков.rar
    2.7 KB · Просмотры: 9
  • Содержимое поля Объект.txt
    111 байт · Просмотры: 10
Последнее редактирование:
Почему-то файл hijackthis.log не получается прикрепить.
 
Что устанавливали накануне?
 
Ярлыки появились после установки данного ПО - WinDjView
 
Еще один урок в копилку, ставить софт с оф.сайта :) а не с сайтов которые зарабатывают на бесплатном ПО оборачивая его в свой инсталлятор и напихивая компьютер разным непотребностями. Жду логи.
 
akok написал(а):
Еще один урок в копилку, ставить софт с оф.сайта :) а не с сайтов которые зарабатывают на бесплатном ПО оборачивая его в свой инсталлятор и напихивая компьютер разным непотребностями. Жду логи.
Нажмите для раскрытия...
Случайно не по той ссылке перешел((. Логи которые присылал были собраны за 5 мин до написания темы.
 
Последнее редактирование:
Не вижу архива CollectionLog во вложении. Просто разнобой в первом посте.
 
akok написал(а):
Еще один урок в копилку, ставить софт с оф.сайта :) а не с сайтов которые зарабатывают на бесплатном ПО оборачивая его в свой инсталлятор и напихивая компьютер разным непотребностями. Жду логи.
Нажмите для раскрытия...
Логи во вложении
 

Вложения

  • CollectionLog-2020.09.06-14.00.zip
    84.3 KB · Просмотры: 12
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: 
begin
ClearQuarantine;
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio\Sample Projects.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio\Clear Options.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends\Uninstall League of Legends.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 20.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 2019.3.13f1 (64-bit)\Unity Documentation.lnk', '');
end.


Пофиксьте в хиджак
Код: 
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] = C:\Users\roman\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing) (2020/09/05)
O4 - HKCU\..\StartupApproved\Run: [movavi_suite_agent] = C:\Users\roman\AppData\Roaming\Movavi Video Suite 2020\AgentInformer.exe  (file missing) (2020/09/05)
O4 - HKLM\..\StartupApproved\Run32: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) (2020/09/05)
O4 - HKLM\..\StartupApproved\Run: [Wondershare Helper Compact.exe] = C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) (2020/09/05)

Если вы против телеметрии, то можете заодно ещё пофиксить
Код: 
O22 - Task: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) \Microsoft\Office\Office Subscription Maintenance - C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonx64\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Microsoft)

Сделайте свежие логи Автологером.
 
Последнее редактирование модератором:
regist написал(а):
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: 
begin
ClearQuarantine;
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio\Sample Projects.lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio\Clear Options.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends\Uninstall League of Legends.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 20.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk', '');
DeleteFile('C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 2019.3.13f1 (64-bit)\Unity Documentation.lnk', '');
end.


Пофиксьте в хиджак
Код: 
O4 - HKCU\..\StartupApproved\Run: [Browser Manager] = C:\Users\roman\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing) (2020/09/05)
O4 - HKCU\..\StartupApproved\Run: [movavi_suite_agent] = C:\Users\roman\AppData\Roaming\Movavi Video Suite 2020\AgentInformer.exe  (file missing) (2020/09/05)
O4 - HKLM\..\StartupApproved\Run32: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) (2020/09/05)
O4 - HKLM\..\StartupApproved\Run: [Wondershare Helper Compact.exe] = C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) (2020/09/05)

Если вы против телеметрии, то можете заодно ещё пофиксить
Код: 
O22 - Task: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Task: (telemetry) \Microsoft\Office\Office Subscription Maintenance - C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonx64\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Microsoft)

Сделайте свежие логи Автологером.
Нажмите для раскрытия...
Лог весит больше 250 мб
Вот ссылка: virusinfo_auto_DESKTOP-EE5SHTH.zip
 
Спасибо, забрал
 
Лог во вложении
 

Вложения

  • CollectionLog-2020.09.06-16.39.zip
    80.4 KB · Просмотры: 10
Что с проблемой?
 
Если проблем больше нет, ознакомьтесь: Рекомендации после лечения.
+ Пересмотрите список установленных программ и удалите не нужные.

Удачи :).
 
  • Like
Реакции: akok
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу