Решена zurgop.c!bit

Статус
В этой теме нельзя размещать новые ответы.
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Понял.
 

Вложения

Последнее редактирование:
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Логи FRST прикрепил. Посмотрел скан-лог AdwCleaner'a и удалил вручную папки, на которых AdwCleaner, по-видимому, зависает при попытке удаления. Все они были пустыми, кроме lSuxVLLzOIE.
* [ Services ] *

No malicious services found.

* [ Folders ] *

Adware.NeoBar C:\Program Files (x86)\CIXQfAPhcYmU2
Adware.NeoBar C:\Program Files (x86)\cRwPWqtmU
Adware.NeoBar C:\Program Files (x86)\qDDJrgJjrNmnmtXuCKR
Adware.NeoBar C:\Program Files (x86)\MZrouHFtyLGOC
Adware.NeoBar C:\Program Files (x86)\lSuxVLLzOIE
Adware.NeoBar C:\ProgramData\OLYHUpvUSqfnpYVB

* [ Files ] *

No malicious files found.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    C:\Users\AVD\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmhlfmikjfnpepnkcnepibmobdoeklc
    2019-02-19 11:26 - 2019-02-20 19:39 - 000000000 ____D C:\ProgramData\OLYHUpvUSqfnpYVB
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\qDDJrgJjrNmnmtXuCKR
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\MZrouHFtyLGOC
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\lSuxVLLzOIE
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\CIXQfAPhcYmU2
    2019-02-19 11:25 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\cRwPWqtmU
    Task: {4545F753-ECD8-48E1-8C57-56459907D9FB} - System32\Tasks\Microsoft\QuickLaunch => C:\ProgramData\WindowsMenu\westat.exe
    Task: {AF540E9E-AA79-4008-B588-B1EFF53BB413} - System32\Tasks\Microsoft\Windows\Starter => C:\ProgramData\WindowsMenu\westat.exe
    AlternateDataStreams: C:\ProgramData:Easy$Duplicate$Finder [366]
    AlternateDataStreams: C:\Users\All Users:Easy$Duplicate$Finder [366]
    AlternateDataStreams: C:\ProgramData\Application Data:Easy$Duplicate$Finder [366]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Спасибо. Сомневаюсь в следующем моменте:
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
Как я понимаю, копировать нужно с "Start::" по "End::". Но, наверное, содержимое буфера нужно куда-то вставить или FRST подхватит его из буфера сам?
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Все сделал. Лог прикрепляю. Удаленные мной папки он не нашел - надеюсь, я не испортил ничего своей самодеятельностью.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Что сейчас с проблемой?
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Defender по-прежнему находит трояна. AdwCleaner находит две угрозы, о которых я сообщал в начале этой темы.
* [ Chromium URLs ] *

PUP.Optional.Photor photoramochka.ru
PUP.Optional.SofTonicAssistant Softonic EN
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Нет, в Defender'e ничего определить не удается. Вот вся информация, которая при этом сообщается:
Items:
process:pid:2084,ProcessStart:131962443133040224

Get more information about this item online.
А вот здесь сюрприз - сначала, когда я создавал эту тему, линк выводил просто на общую страницу Микрософта без какой-либо информации о вирусе, и поиск в Гугл не давал никаких результатов, как я и написал, а сейчас этот линк открывает вот эту страницу: TrojanDownloader:Win32/Zurgop.C!bit threat description -Windows Defender Security Intelligence

Если нажать Remove All, то все исчезает, а потом вирус находится снова. Но главное - это то, что вирус якобы помещается в Карантин, а в Карантине ничего нет.

Что касается сброса настроек браузера, то мне не хочется воссоздавать затем массу всех моих пользовательских настроек. Насколько опасно присутствии этих URLs в Chrome?
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Вот что я нашел в логе Addition:
Windows Defender:
===================================
Date: 2019-03-05 19:40:47.586
Description:
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
Name: TrojanDownloader:Win32/Zurgop.C!bit
ID: 2147731791
Severity: Severe
Category: Trojan Downloader
Path: process:_pid:376,ProcessStart:131962776126222511
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Signature Version: AV: 1.289.435.0, AS: 1.289.435.0, NIS: 119.0.0.0
Engine Version: AM: 1.1.15700.9, NIS: 2.1.14600.4

Date: 2019-03-05 19:39:11.195
Description:
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
Name: TrojanDownloader:Win32/Zurgop.C!bit
ID: 2147731791
Severity: Severe
Category: Trojan Downloader
Path: process:_pid:2096,ProcessStart:131962774844111226
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\ProgramData\localNETService\localNETService.exe
Signature Version: AV: 1.289.435.0, AS: 1.289.435.0, NIS: 119.0.0.0
Engine Version: AM: 1.1.15700.9, NIS: 2.1.14600.4
 
akok

akok

Команда форума
Администратор
Сообщения
16,521
Реакции
13,120
Баллы
2,203
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Добрый день, акок! Спасибо за помощь. Что мне делать с предыдущим сообщением от Вас:
"Проверьте на (VirusTotal) и дайте ссылку на результат проверки файла
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe "
Игнорировать или выполнить перед проверкой с помощью AutorunsVTchecker и Universal Virus Sniffer?
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Продолжайте.
 
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Все выполнил, файл прикрепляю. Как обычно, забыл запустить от имени админа и хотел все переделать, но заметил, что окно AutorunsVTchecker'a называется Administrator (см. screenshot). Может, у меня все запускается от имени администратора, и мне не надо это делать принудительно?
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
Что касается сброса настроек браузера, то мне не хочется воссоздавать затем массу всех моих пользовательских настроек
Синхронизацию используете? Если да, то после всех манипуляций вы сможете восстановить настройки. Без сброса похоже не обойтись.

1. Через Панель управления - Удаление программ - деинсталлируйте Chrome.

2. Удалите папку
D:\PORTABLES\SPYHUNTERPORTABLE
вместе с содержимым.

3.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    bl 9D15AF5F89FC99034EFD50F625054590 1892472
    addsgn A7679BF0AA024CA04BD4C6551D881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C5B51C49F75C4C32EF4CA449417DA3BE4AC965B2FC706AB7E 8 HEUR:Trojan.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\LOCALNETSERVICE\LOCALNETSERVICE.EXE
    chklst
    delvir
    
    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

4. Повторите ещё раз лог uVS (AutorunsVTchecker уже запускать не нужно).
 
  • Like
Реакции: akok
A

Alexander Demidov

Новый пользователь
Сообщения
48
Реакции
3
Баллы
8
Да, синхронизирую. Сброс я делать не хотел, потому что подозревал, что придется деинсталлировать Хром - раз надо, значит, надо. В чем проблема со SpyHunter? Это угроза или просто будет мешать предложенному процессу, а потом его можно будет снова использовать? Можно мне все запускать обычным способом, а не принудительно как Администратору?
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,816
Реакции
1,737
Баллы
503
В чем проблема со SpyHunter?

Можно мне все запускать обычным способом, а не принудительно как Администратору?
Всё запускайте от имени администратора.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу