Решена Заражение explorer.exe, вирусы Mail.ru

Статус
В этой теме нельзя размещать новые ответы.

ClasSICK

Участник
Сообщения
63
Реакции
0
Здравствуйте, скачал какой-то файл, ну и понеслась. Сначала установились просто расширения майла потом поиск в интернете(при клике "Расположение файла" открывает папку Windows на диске C и выделяет explorer.exe). Сейчас на рабочем столе еще появились "Войны престолов"...
 

Вложения

  • CollectionLog-2017.02.24-12.55.zip
    73.8 KB · Просмотры: 8
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\classick\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\torrent search', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\classick\appdata\local\syslog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '');
 QuarantineFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '');
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '');
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock2.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Torrent Search2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\amigo_scoped_dir_1487929400\9bfq7WxpZFGd.exe', '32');
 DeleteFile('c:\users\classick\appdata\roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\python\DLLs\_ctypes.pyd', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\ml.py', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\e.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\startpm.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\T0bSDUUumU1u.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\hD09mdLXf43x.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\Temp\sqdgTToEkw3C.exe', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\ntYXbCxQ.dll', '32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\IEEF\8o95XoQ.dll', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\87HJFtH.exe', '32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\NdIimwJ.dll', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\aswast\app.py', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\ClasSICK\AppData\Local\syslog\syslog.exe', '32');
 DeleteFileMask('c:\users\classick\appdata\roaming\aswast', '*', true);
 DeleteFileMask('c:\program files (x86)\torrent search', '*', true);
 DeleteFileMask('c:\program files (x86)\vk ok adblock', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\users\classick\appdata\local\syslog', '*', true);
 DeleteDirectory('c:\users\classick\appdata\roaming\aswast');
 DeleteDirectory('c:\program files (x86)\torrent search');
 DeleteDirectory('c:\program files (x86)\vk ok adblock');
 DeleteDirectory('c:\users\classick\appdata\local\fupdate');
 DeleteDirectory('c:\users\classick\appdata\local\searchgo');
 DeleteDirectory('c:\users\classick\appdata\local\syslog');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 DelBHO('{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','stbehhhleu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','curloihwdc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','npsmjljuoy');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','exjbkgzosj');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iyadhpsccw');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ynekphfwlk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

Подготовьте новый CollectionLog.
 
73 угрозы в adw...Чистить?
Не получается отправить qarantine, бесконечная загрузка.
 

Вложения

  • AdwCleaner[S0].txt
    8.5 KB · Просмотры: 1
  • Check_Browsers_LNK.log
    5.6 KB · Просмотры: 1
  • CollectionLog-2017.02.24-17.25.zip
    57.6 KB · Просмотры: 1
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
+
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
Лог не тот выложили или очистку так и не сделали.
+
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\classick\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk', '');
 DeleteFile('C:\Users\ClasSICK\Desktop\Поиcк в Интeрнете.lnk');
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 DeleteFile('C:\Users\ClasSICK\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFileMask('c:\users\classick\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\classick\appdata\roaming\setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!
+
Подготовьте логи Farbar Recovery Scan Tool
 
Извините, перепутал логи. Скрипт сейчас выполню.
 

Вложения

  • AdwCleaner[C0].txt
    9 KB · Просмотры: 1
  • ClearLNK-24.02.2017_17-22.log
    2.7 KB · Просмотры: 2
  • Shortcut.txt
    34.6 KB · Просмотры: 0
  • FRST.txt
    64.4 KB · Просмотры: 2
  • Addition.txt
    30.2 KB · Просмотры: 3
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
Task: {D6312EF8-FCAC-4679-8FC5-5E564A931356} - System32\Tasks\setupsk => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [2015-12-21] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\zVnVFVyZ.dll => No File
BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlock\IEEF\r9U2fX.dll => No File
HKU\S-1-5-21-3132329110-160724464-2602932941-1000\...\Run: [setupsk] => C:\Users\ClasSICK\AppData\Roaming\setupsk\python\pythonw.exe [27648 2015-12-21] ()
2017-02-24 16:54 - 2017-02-24 16:54 - 00003448 _____ C:\Windows\System32\Tasks\setupsk
2017-02-24 12:47 - 2017-02-24 17:22 - 00001530 _____ C:\Users\ClasSICK\Desktop\Войти в Интернет.LNK
2017-02-24 12:46 - 2017-02-24 16:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Roaming\setupsk
EmptyTemp:
Reboot:
end

Скрипт сейчас выполню.
Нужно скрипт выполнять, а уж потом логи FRST делать.
Мне теперь приходится опять эти строки в скрипт вставлять.
 
Последнее редактирование:
Извините, не думал что это может так повлиять.
 
Майл вроде бы убрался, но остались на раб. столе "Игры престолов" и при клике на расположение файла все равно выводит на explorer.

upload_2017-2-24_18-35-27.png

upload_2017-2-24_18-36-16.png


Выводиь на explorer
 

Вложения

  • Fixlog.txt
    3.3 KB · Просмотры: 3
остались на раб. столе "Игры престолов"
Легальная игра от mail.ru, поэтому не трогал, но раз настаиваете, тогда
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
ShortcutWithArgument: C:\Users\ClasSICK\Desktop\Войны престолов.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://goooodlink.ru/WarOfThrones16_"
2017-02-24 12:54 - 2017-02-24 12:54 - 00001638 _____ C:\Users\ClasSICK\Desktop\Войны престолов.lnk
2017-02-24 12:54 - 2017-02-24 12:54 - 00000000 ____D C:\Users\ClasSICK\AppData\Local\Войны престолов
EmptyTemp:
Reboot:
end
 
Легальная игра от mail.ru поражающая explorer =))
вот лог
 

Вложения

  • Fixlog.txt
    1.8 KB · Просмотры: 4
Да кто вас игроманов поймет)))

Что сейчас с проблемами?
 
Да, это правда))))

Проблема решена, спасибо за помощь, тему можно закрывать.
 
В заключении:
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 24.02.2017 19:36:12
Path starting: C:\Users\ClasSICK\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ClasSICK
VersionXML: 3.94is-22.02.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 23.02.2017 19:44:50
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [477.4 Гб] Занято: [35.5 Гб] Свободно: [441.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2017-02-24 07:09:31
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.104
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.56.0.2924.87
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
setupsk Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 
Кучу вирусов malware нашел:D
Никогда бы не подумал что Driver Pack solution - вирус.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу