1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Заражение explorer.exe, вирусы Mail.ru

Тема в разделе "Удаление компьютерных вирусов", создана пользователем ClasSICK, 24 фев 2017.

  1. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Здравствуйте, скачал какой-то файл, ну и понеслась. Сначала установились просто расширения майла потом поиск в интернете(при клике "Расположение файла" открывает папку Windows на диске C и выделяет explorer.exe). Сейчас на рабочем столе еще появились "Войны престолов"...
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\classick\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\torrent search', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\classick\appdata\local\syslog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '');
     QuarantineFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '');
     QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '');
     QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '');
     QuarantineFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '');
     DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job', '64');
     DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job', '64');
     ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '32');
     DeleteFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '32');
     DeleteFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '32');
     DeleteFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '32');
     DeleteFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '32');
     DeleteFileMask('c:\users\classick\appdata\roaming\aswast', '*', true);
     DeleteFileMask('c:\program files (x86)\torrent search', '*', true);
     DeleteFileMask('c:\program files (x86)\vk ok adblock', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\fupdate', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\searchgo', '*', true);
     DeleteFileMask('c:\users\classick\appdata\local\syslog', '*', true);
     DeleteDirectory('c:\users\classick\appdata\roaming\aswast');
     DeleteDirectory('c:\program files (x86)\torrent search');
     DeleteDirectory('c:\program files (x86)\vk ok adblock');
     DeleteDirectory('c:\users\classick\appdata\local\fupdate');
     DeleteDirectory('c:\users\classick\appdata\local\searchgo');
     DeleteDirectory('c:\users\classick\appdata\local\syslog');
     DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
     DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
     DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','stbehhhleu');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','curloihwdc');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','npsmjljuoy');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','exjbkgzosj');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iyadhpsccw');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ynekphfwlk');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

    Подготовьте лог AdwCleaner.

    Подготовьте новый CollectionLog.
     
  4. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    73 угрозы в adw...Чистить?
    --- Объединённое сообщение, 24 фев 2017 ---
    Не получается отправить qarantine, бесконечная загрузка.
     

    Вложения:

  5. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
    +
    Лог не тот выложили или очистку так и не сделали.
    +
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\classick\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '');
     QuarantineFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk', '');
     DeleteFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk');
     ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
     DeleteFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '32');
     DeleteFileMask('c:\users\classick\appdata\roaming\setupsk', '*', true);
     DeleteDirectory('c:\users\classick\appdata\roaming\setupsk');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!
    +
    Подготовьте логи Farbar Recovery Scan Tool
     
    ClasSICK нравится это.
  6. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Извините, перепутал логи. Скрипт сейчас выполню.
     

    Вложения:

  7. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Выполните скрипт в Farbar Recovery Scan Tool
    Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
    Код (Text):
    start
    CreateRestorePoint:
    Task: {D6312EF8-FCAC-4679-8FC5-5E564A931356} - System32\Tasks\setupsk => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [2015-12-21] ()
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\zVnVFVyZ.dll => No File
    BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlock\IEEF\r9U2fX.dll => No File
    HKU\S-1-5-21-3132329110-160724464-2602932941-1000\...\Run: [setupsk] => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [27648 2015-12-21] ()
    2017-02-24 16:54 - 2017-02-24 16:54 - 00003448 _____ C:\Windows\System32\Tasks\setupsk
    2017-02-24 12:47 - 2017-02-24 17:22 - 00001530 _____ C:\Users\ClasSICK\Desktop\Войти в Интернет.LNK
    2017-02-24 12:46 - 2017-02-24 16:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Roaming\setupsk
    EmptyTemp:
    Reboot:
    end
    Нужно скрипт выполнять, а уж потом логи FRST делать.
    Мне теперь приходится опять эти строки в скрипт вставлять.
     
    Последнее редактирование: 24 фев 2017
  8. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Извините, не думал что это может так повлиять.
     
  9. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Ждем.
    +
    Что с проблемой?
     
  10. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Майл вроде бы убрался, но остались на раб. столе "Игры престолов" и при клике на расположение файла все равно выводит на explorer.

    upload_2017-2-24_18-35-27.
    --- Объединённое сообщение, 24 фев 2017 ---
    upload_2017-2-24_18-36-16.

    Выводиь на explorer
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      3,3 КБ
      Просмотров:
      2
  11. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Легальная игра от mail.ru, поэтому не трогал, но раз настаиваете, тогда
    Выполните скрипт в Farbar Recovery Scan Tool
    Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
    Код (Text):
    start
    CreateRestorePoint:
    ShortcutWithArgument: C:\Users\ClasSICK\Desktop\Войны престолов.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://goooodlink.ru/WarOfThrones16_"
    2017-02-24 12:54 - 2017-02-24 12:54 - 00001638 _____ C:\Users\ClasSICK\Desktop\Войны престолов.lnk
    2017-02-24 12:54 - 2017-02-24 12:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Local\Войны престолов
    EmptyTemp:
    Reboot:
    end
     
    ClasSICK нравится это.
  12. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Легальная игра от mail.ru поражающая explorer =))
    --- Объединённое сообщение, 24 фев 2017 ---
    вот лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,8 КБ
      Просмотров:
      4
  13. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    Да кто вас игроманов поймет)))

    Что сейчас с проблемами?
     
  14. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Да, это правда))))

    Проблема решена, спасибо за помощь, тему можно закрывать.
     
  15. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    В заключении:
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
  16. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 24.02.2017 19:36:12
    Path starting: C:\Users\ClasSICK\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: ClasSICK
    VersionXML: 3.94is-22.02.2017
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 23.02.2017 19:44:50
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    Системный диск: C: ФС: [NTFS] Емкость: [477.4 Гб] Занято: [35.5 Гб] Свободно: [441.9 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Уведомлять о загрузке и установке обновлений
    Дата установки обновлений: 2017-02-24 07:09:31
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба работает
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (выключен и обновлен)
    --------------------------- [ OtherUtilities ] ----------------------------
    WinRAR 5.40 (64-разрядная) v.5.40.0
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.33 v.7.33.104
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.56.0.2924.87
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Защитник Windows (WinDefend) - Служба остановлена
    ---------------------------- [ UnwantedApps ] -----------------------------
    setupsk Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
    ----------------------------- [ End of Log ] ------------------------------
     
  17. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
  18. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
  19. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    ???
     
  20. ClasSICK

    ClasSICK Новый пользователь

    Сообщения:
    63
    Симпатии:
    0
    Кучу вирусов malware нашел:D
    Никогда бы не подумал что Driver Pack solution - вирус.
     
  21. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.120
    Симпатии:
    4.837
    ClasSICK нравится это.
Загрузка...
Похожие темы - Заражение explorer вирусы
  1. Wafel
    Ответов:
    16
    Просмотров:
    342
  2. Andrey S.
    Ответов:
    15
    Просмотров:
    362
  3. texno5
    Ответов:
    1
    Просмотров:
    340
  4. Di1090
    Ответов:
    24
    Просмотров:
    1.084
  5. Eduard Kondratev
    Ответов:
    11
    Просмотров:
    657
  6. Kinderman
    Ответов:
    15
    Просмотров:
    549

Поделиться этой страницей