Решена Заразился chrome

Статус
В этой теме нельзя размещать новые ответы.

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Буду краток, постоянно меняются настройки хрома после запуска вредоносного ехе файла. А ярлык хрома постоянно меняется на exe.emorhc.bat. Думаю, Вы сталкивались с подобной проблемой и информации достаточно. Заранее благодарю.
 

Вложения

  • CollectionLog-2015.04.09-20.10.zip
    81.3 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Прокси сами настраивали:

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 83.128.193.153:80


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Arman\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Arman\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Arman\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Arman\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DeleteFileMask('C:\Users\Arman\AppData\Roaming\Browsers\', '*', true);
 DeleteDirectory('C:\Users\Arman\AppData\Roaming\Browsers\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2knl.org/?src=hp4&subid1=feb



- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Public\Desktop\RusDоtа2_Lаuncher.lnk
C:\Users\Public\Desktop\Вattlе.nеt.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Вattlе.net.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Inquisition\Drаgon Аge Inquisition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Far Cry 4\Игрaть Far Cry 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RG Virtus\Fallout 3 - Золотое издание\Зaпустить игру.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RusDota2_Launcher\RusDоtа2_Lаunсher.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Drаgоn Аgе Inquisition.lnk
C:\Users\Arman\Desktop\Games\Fаllоut 3 - Зoлoтoе издание.lnk
C:\Users\Arman\Desktop\Games\Fаr Сry 4.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Eхplоrеr Browser.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Chromе.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Eхрlоrer.lnk
C:\Users\Arman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\91844f10b2769923\Google Chrome.lnk
C:\Users\Arman\Desktop\Games\World of Warcraft Public Test.lnk


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Спасибо за быстрый ответ!
После перезагрузки проблема, вроде как, решилась.
 

Вложения

  • AdwCleaner[R0].txt
    26.6 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Про прокси не ответили. Ваша настройка?

83.128.193.153:80
 

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Да, скорее всего моя, давно еще ставил и забыл про неё.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Папка Найдено : C:\Program Files (x86)\Mail.Ru
    Папка Найдено : C:\Users\Arman\AppData\Local\Mail.Ru
    Папка Найдено : C:\Users\Arman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
    Папка Найдено : D:\Soft\Premium
    Папка Найдено : D:\Soft\VNT
    Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local
    Данные Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - 83.128.193.153:80
    Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [DefaultConnectionSettings]
    Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [SavedLegacySettings]
    Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Перезагрузку сделал. После перезапуска расширения мейл.ру снова пытались установиться в хром
 

Вложения

  • AdwCleaner[S0].txt
    3 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Хорошо, вот еще что пропустили. Вы ярлыки с помощью Clearlnk правили, а отчета не показали.

И напоследок:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 09.04.2015 21:22:34
Run directory: C:\Users\Arman\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 9.2
__________________________________________________

Windows 8 (6.2.9200) (x64) Enterprise Lang: Russian(0419)
Дата установки ОС: 15.11.2014 14:11:18
Статус лицензии: Windows(R), Enterprise edition Windows находится в режиме уведомления
Системный диск: C:\ ФС: NTFS Емкость: [146.5 Гб] Занято: [106.7 Гб] Свободно: [39.8 Гб]
Браузер по умолчанию:
-------------Windows------------------------------
Internet Explorer 10.0.9200.17183 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-01-16 16:20:30
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
Windows Defender
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
TeamViewer 10 v.10.0.36244
-------------Java---------------------------------
Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления
^Скачайте jre-8u40-windows-i586.exe^
Java Auto Updater v.2.8.25.18
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Reader XI (11.0.10) - Russian v.11.0.10
-------------Browser------------------------------
Google Chrome v.41.0.2272.118 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.41.0.2272.118
-------------EndLog-------------------------------
 

Вложения

  • ClearLNK-09.04.2015_20-47.log
    7.6 KB · Просмотры: 2

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
А обязательно IE обновлять? Не пользуюсь ей вообще.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Желательно, поскольку он предоставляет свои библиотеки многим приложениям.
 

Hoxton

Новый пользователь
Сообщения
7
Реакции
0
Хорошо, благодарю за помощь! :) Удачи Вам.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,683
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу