Решена Заражение explorer.exe, вирусы Mail.ru

Тема в разделе "Удаление компьютерных вирусов", создана пользователем ClasSICK, 24 фев 2017.

  1. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Здравствуйте, скачал какой-то файл, ну и понеслась. Сначала установились просто расширения майла потом поиск в интернете(при клике "Расположение файла" открывает папку Windows на диске C и выделяет explorer.exe). Сейчас на рабочем столе еще появились "Войны престолов"...
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\classick\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\torrent search', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\syslog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '');
     QuarantineFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '');
     QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '');
     QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '');
     DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job', '64');
     ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '32');
     DeleteFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '32');
     DeleteFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '32');
     DeleteFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '32');
     DeleteFileMask('c:\users\classick\appdata\roaming\aswast', '*', true);
     DeleteFileMask('c:\program files (x86)\torrent search', '*', true);
     DeleteFileMask('c:\program files (x86)\vk ok adblock', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\fupdate', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\searchgo', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\syslog', '*', true);
     DeleteDirectory('c:\users\classick\appdata\roaming\aswast');
     DeleteDirectory('c:\program files (x86)\torrent search');
     DeleteDirectory('c:\program files (x86)\vk ok adblock');
     DeleteDirectory('c:\users\classick\appdata\local\fupdate');
     DeleteDirectory('c:\users\classick\appdata\local\searchgo');
     DeleteDirectory('c:\users\classick\appdata\local\syslog');
     DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
     DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
     DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','stbehhhleu');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','curloihwdc');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','npsmjljuoy');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','exjbkgzosj');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iyadhpsccw');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ynekphfwlk');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

    Подготовьте лог AdwCleaner.

    Подготовьте новый CollectionLog.
     
  4. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    73 угрозы в adw...Чистить?
    Не получается отправить qarantine, бесконечная загрузка.
     

    Вложения:

  5. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
    +
    Лог не тот выложили или очистку так и не сделали.
    +
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\classick\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '');
     QuarantineFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk', '');
     DeleteFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk');
     ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '32');
     DeleteFileMask('c:\users\classick\appdata\roaming\setupsk', '*', true);
     DeleteDirectory('c:\users\classick\appdata\roaming\setupsk');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!
    +
    Подготовьте логи Farbar Recovery Scan Tool
     
    ClasSICK нравится это.
  6. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Извините, перепутал логи. Скрипт сейчас выполню.
     

    Вложения:

  7. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Выполните скрипт в Farbar Recovery Scan Tool
    Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
    Код (Text):
    start
    CreateRestorePoint:
    Task: {D6312EF8-FCAC-4679-8FC5-5E564A931356} - System32\Tasks\setupsk => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [2015-12-21] ()
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\zVnVFVyZ.dll => No File
    BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlock\IEEF\r9U2fX.dll => No File
    HKU\S-1-5-21-3132329110-160724464-2602932941-1000\...\Run: [setupsk] => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [27648 2015-12-21] ()
    2017-02-24 16:54 - 2017-02-24 16:54 - 00003448 _____ C:\Windows\System32\Tasks\setupsk
    2017-02-24 12:47 - 2017-02-24 17:22 - 00001530 _____ C:\Users\ClasSICK\Desktop\Войти в Интернет.LNK
    2017-02-24 12:46 - 2017-02-24 16:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Roaming\setupsk
    EmptyTemp:
    Reboot:
    end
    Нужно скрипт выполнять, а уж потом логи FRST делать.
    Мне теперь приходится опять эти строки в скрипт вставлять.
     
    Последнее редактирование: 24 фев 2017
  8. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Извините, не думал что это может так повлиять.
     
  9. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Ждем.
    +
    Что с проблемой?
     
  10. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Майл вроде бы убрался, но остались на раб. столе "Игры престолов" и при клике на расположение файла все равно выводит на explorer.

    upload_2017-2-24_18-35-27.png
    upload_2017-2-24_18-36-16.png

    Выводиь на explorer
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      3,3 КБ
      Просмотров:
      2
  11. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Легальная игра от mail.ru, поэтому не трогал, но раз настаиваете, тогда
    Выполните скрипт в Farbar Recovery Scan Tool
    Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
    Код (Text):
    start
    CreateRestorePoint:
    ShortcutWithArgument: C:\Users\ClasSICK\Desktop\Войны престолов.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://goooodlink.ru/WarOfThrones16_"
    2017-02-24 12:54 - 2017-02-24 12:54 - 00001638 _____ C:\Users\ClasSICK\Desktop\Войны престолов.lnk
    2017-02-24 12:54 - 2017-02-24 12:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Local\Войны престолов
    EmptyTemp:
    Reboot:
    end
     
    ClasSICK нравится это.
  12. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Легальная игра от mail.ru поражающая explorer =))
    вот лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,8 КБ
      Просмотров:
      4
  13. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    Да кто вас игроманов поймет)))

    Что сейчас с проблемами?
     
  14. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Да, это правда))))

    Проблема решена, спасибо за помощь, тему можно закрывать.
     
  15. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    В заключении:
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
  16. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 24.02.2017 19:36:12
    Path starting: C:\Users\ClasSICK\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: ClasSICK
    VersionXML: 3.94is-22.02.2017
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 23.02.2017 19:44:50
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    Системный диск: C: ФС: [NTFS] Емкость: [477.4 Гб] Занято: [35.5 Гб] Свободно: [441.9 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Уведомлять о загрузке и установке обновлений
    Дата установки обновлений: 2017-02-24 07:09:31
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба работает
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (выключен и обновлен)
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.40 (64-разрядная) v.5.40.0
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.33 v.7.33.104
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.56.0.2924.87
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Защитник Windows (WinDefend) - Служба остановлена
    ---------------------------- [ UnwantedApps ] -----------------------------
    setupsk Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
    ----------------------------- [ End of Log ] ------------------------------
     
  17. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
  18. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
  19. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    ???
     
  20. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Кучу вирусов malware нашел:D
    Никогда бы не подумал что Driver Pack solution - вирус.
     
  21. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.198
    Симпатии:
    4.837
    ClasSICK нравится это.
Загрузка...

Поделиться этой страницей

Загрузка...

Поисковый запрос:

  1. windows explorer exe войти в internet