• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Заражение explorer.exe, вирусы Mail.ru

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#1
Здравствуйте, скачал какой-то файл, ну и понеслась. Сначала установились просто расширения майла потом поиск в интернете(при клике "Расположение файла" открывает папку Windows на диске C и выделяет explorer.exe). Сейчас на рабочем столе еще появились "Войны престолов"...
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\classick\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\torrent search', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\syslog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '');
 QuarantineFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '');
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '');
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '32');
 DeleteFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '32');
 DeleteFileMask('c:\users\classick\appdata\roaming\aswast', '*', true);
 DeleteFileMask('c:\program files (x86)\torrent search', '*', true);
 DeleteFileMask('c:\program files (x86)\vk ok adblock', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\syslog', '*', true);
 DeleteDirectory('c:\users\classick\appdata\roaming\aswast');
 DeleteDirectory('c:\program files (x86)\torrent search');
 DeleteDirectory('c:\program files (x86)\vk ok adblock');
 DeleteDirectory('c:\users\classick\appdata\local\fupdate');
 DeleteDirectory('c:\users\classick\appdata\local\searchgo');
 DeleteDirectory('c:\users\classick\appdata\local\syslog');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','stbehhhleu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','curloihwdc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','npsmjljuoy');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','exjbkgzosj');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iyadhpsccw');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ynekphfwlk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

Подготовьте новый CollectionLog.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#4
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
+
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Лог не тот выложили или очистку так и не сделали.
+
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\classick\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk', '');
 DeleteFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk');
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFileMask('c:\users\classick\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\classick\appdata\roaming\setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!
+
Подготовьте логи Farbar Recovery Scan Tool
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#6
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
Task: {D6312EF8-FCAC-4679-8FC5-5E564A931356} - System32\Tasks\setupsk => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [2015-12-21] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\zVnVFVyZ.dll => No File
BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlock\IEEF\r9U2fX.dll => No File
HKU\S-1-5-21-3132329110-160724464-2602932941-1000\...\Run: [setupsk] => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [27648 2015-12-21] ()
2017-02-24 16:54 - 2017-02-24 16:54 - 00003448 _____ C:\Windows\System32\Tasks\setupsk
2017-02-24 12:47 - 2017-02-24 17:22 - 00001530 _____ C:\Users\ClasSICK\Desktop\Войти в Интернет.LNK
2017-02-24 12:46 - 2017-02-24 16:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Roaming\setupsk
EmptyTemp:
Reboot:
end
Нужно скрипт выполнять, а уж потом логи FRST делать.
Мне теперь приходится опять эти строки в скрипт вставлять.
 
Последнее редактирование:

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#7
Извините, не думал что это может так повлиять.
 

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#9
Майл вроде бы убрался, но остались на раб. столе "Игры престолов" и при клике на расположение файла все равно выводит на explorer.

upload_2017-2-24_18-35-27.png
upload_2017-2-24_18-36-16.png

Выводиь на explorer
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#10
остались на раб. столе "Игры престолов"
Легальная игра от mail.ru, поэтому не трогал, но раз настаиваете, тогда
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
ShortcutWithArgument: C:\Users\ClasSICK\Desktop\Войны престолов.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://goooodlink.ru/WarOfThrones16_"
2017-02-24 12:54 - 2017-02-24 12:54 - 00001638 _____ C:\Users\ClasSICK\Desktop\Войны престолов.lnk
2017-02-24 12:54 - 2017-02-24 12:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Local\Войны престолов
EmptyTemp:
Reboot:
end
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#12
Да кто вас игроманов поймет)))

Что сейчас с проблемами?
 

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#13
Да, это правда))))

Проблема решена, спасибо за помощь, тему можно закрывать.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#14
В заключении:
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#15
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 24.02.2017 19:36:12
Path starting: C:\Users\ClasSICK\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ClasSICK
VersionXML: 3.94is-22.02.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 23.02.2017 19:44:50
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [477.4 Гб] Занято: [35.5 Гб] Свободно: [441.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2017-02-24 07:09:31
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.104
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
setupsk Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

ClasSICK

Пользователь
Сообщения
63
Симпатии
0
#19
Кучу вирусов malware нашел:D
Никогда бы не подумал что Driver Pack solution - вирус.
 
Сверху Снизу