Решена zurgop.c!bit

Статус
В этой теме нельзя размещать новые ответы.
Понял.
 

Вложения

  • FRST.txt
    31.8 KB · Просмотры: 1
  • Addition.txt
    49.7 KB · Просмотры: 2
Последнее редактирование:
Логи FRST прикрепил. Посмотрел скан-лог AdwCleaner'a и удалил вручную папки, на которых AdwCleaner, по-видимому, зависает при попытке удаления. Все они были пустыми, кроме lSuxVLLzOIE.
* [ Services ] *

No malicious services found.

* [ Folders ] *

Adware.NeoBar C:\Program Files (x86)\CIXQfAPhcYmU2
Adware.NeoBar C:\Program Files (x86)\cRwPWqtmU
Adware.NeoBar C:\Program Files (x86)\qDDJrgJjrNmnmtXuCKR
Adware.NeoBar C:\Program Files (x86)\MZrouHFtyLGOC
Adware.NeoBar C:\Program Files (x86)\lSuxVLLzOIE
Adware.NeoBar C:\ProgramData\OLYHUpvUSqfnpYVB

* [ Files ] *

No malicious files found.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    C:\Users\AVD\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldmhlfmikjfnpepnkcnepibmobdoeklc
    2019-02-19 11:26 - 2019-02-20 19:39 - 000000000 ____D C:\ProgramData\OLYHUpvUSqfnpYVB
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\qDDJrgJjrNmnmtXuCKR
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\MZrouHFtyLGOC
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\lSuxVLLzOIE
    2019-02-19 11:26 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\CIXQfAPhcYmU2
    2019-02-19 11:25 - 2019-02-20 19:13 - 000000000 ____D C:\Program Files (x86)\cRwPWqtmU
    Task: {4545F753-ECD8-48E1-8C57-56459907D9FB} - System32\Tasks\Microsoft\QuickLaunch => C:\ProgramData\WindowsMenu\westat.exe
    Task: {AF540E9E-AA79-4008-B588-B1EFF53BB413} - System32\Tasks\Microsoft\Windows\Starter => C:\ProgramData\WindowsMenu\westat.exe
    AlternateDataStreams: C:\ProgramData:Easy$Duplicate$Finder [366]
    AlternateDataStreams: C:\Users\All Users:Easy$Duplicate$Finder [366]
    AlternateDataStreams: C:\ProgramData\Application Data:Easy$Duplicate$Finder [366]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Спасибо. Сомневаюсь в следующем моменте:
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
Как я понимаю, копировать нужно с "Start::" по "End::". Но, наверное, содержимое буфера нужно куда-то вставить или FRST подхватит его из буфера сам?
 
Все сделал. Лог прикрепляю. Удаленные мной папки он не нашел - надеюсь, я не испортил ничего своей самодеятельностью.
 

Вложения

  • Fixlog.txt
    4 KB · Просмотры: 2
Что сейчас с проблемой?
 
Defender по-прежнему находит трояна. AdwCleaner находит две угрозы, о которых я сообщал в начале этой темы.
* [ Chromium URLs ] *

PUP.Optional.Photor photoramochka.ru
PUP.Optional.SofTonicAssistant Softonic EN
 

Вложения

  • Zurgop.C!bit 1.png
    Zurgop.C!bit 1.png
    31.7 KB · Просмотры: 67
  • AdwCleaner[S08].txt
    1.8 KB · Просмотры: 1
Нет, в Defender'e ничего определить не удается. Вот вся информация, которая при этом сообщается:
Items:
process:pid:2084,ProcessStart:131962443133040224

Get more information about this item online.
А вот здесь сюрприз - сначала, когда я создавал эту тему, линк выводил просто на общую страницу Микрософта без какой-либо информации о вирусе, и поиск в Гугл не давал никаких результатов, как я и написал, а сейчас этот линк открывает вот эту страницу: TrojanDownloader:Win32/Zurgop.C!bit threat description -Windows Defender Security Intelligence

Если нажать Remove All, то все исчезает, а потом вирус находится снова. Но главное - это то, что вирус якобы помещается в Карантин, а в Карантине ничего нет.

Что касается сброса настроек браузера, то мне не хочется воссоздавать затем массу всех моих пользовательских настроек. Насколько опасно присутствии этих URLs в Chrome?
 
Вот что я нашел в логе Addition:
Windows Defender:
===================================
Date: 2019-03-05 19:40:47.586
Description:
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
Name: TrojanDownloader:Win32/Zurgop.C!bit
ID: 2147731791
Severity: Severe
Category: Trojan Downloader
Path: process:_pid:376,ProcessStart:131962776126222511
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Signature Version: AV: 1.289.435.0, AS: 1.289.435.0, NIS: 119.0.0.0
Engine Version: AM: 1.1.15700.9, NIS: 2.1.14600.4

Date: 2019-03-05 19:39:11.195
Description:
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
Name: TrojanDownloader:Win32/Zurgop.C!bit
ID: 2147731791
Severity: Severe
Category: Trojan Downloader
Path: process:_pid:2096,ProcessStart:131962774844111226
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\ProgramData\localNETService\localNETService.exe
Signature Version: AV: 1.289.435.0, AS: 1.289.435.0, NIS: 119.0.0.0
Engine Version: AM: 1.1.15700.9, NIS: 2.1.14600.4
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Добрый день, акок! Спасибо за помощь. Что мне делать с предыдущим сообщением от Вас:
"Проверьте на (VirusTotal) и дайте ссылку на результат проверки файла
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe "
Игнорировать или выполнить перед проверкой с помощью AutorunsVTchecker и Universal Virus Sniffer?
 
Продолжайте.
 
Все выполнил, файл прикрепляю. Как обычно, забыл запустить от имени админа и хотел все переделать, но заметил, что окно AutorunsVTchecker'a называется Administrator (см. screenshot). Может, у меня все запускается от имени администратора, и мне не надо это делать принудительно?
 

Вложения

  • Administrator.png
    Administrator.png
    15.3 KB · Просмотры: 63
  • AVD-PC_2019-03-06_10-57-52_v4.1.2.7z
    745.8 KB · Просмотры: 1
Что касается сброса настроек браузера, то мне не хочется воссоздавать затем массу всех моих пользовательских настроек
Синхронизацию используете? Если да, то после всех манипуляций вы сможете восстановить настройки. Без сброса похоже не обойтись.

1. Через Панель управления - Удаление программ - деинсталлируйте Chrome.

2. Удалите папку
D:\PORTABLES\SPYHUNTERPORTABLE
вместе с содержимым.

3.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    bl 9D15AF5F89FC99034EFD50F625054590 1892472
    addsgn A7679BF0AA024CA04BD4C6551D881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C5B51C49F75C4C32EF4CA449417DA3BE4AC965B2FC706AB7E 8 HEUR:Trojan.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\LOCALNETSERVICE\LOCALNETSERVICE.EXE
    chklst
    delvir
    
    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

4. Повторите ещё раз лог uVS (AutorunsVTchecker уже запускать не нужно).
 
  • Like
Реакции: akok
Да, синхронизирую. Сброс я делать не хотел, потому что подозревал, что придется деинсталлировать Хром - раз надо, значит, надо. В чем проблема со SpyHunter? Это угроза или просто будет мешать предложенному процессу, а потом его можно будет снова использовать? Можно мне все запускать обычным способом, а не принудительно как Администратору?
 
В чем проблема со SpyHunter?

Можно мне все запускать обычным способом, а не принудительно как Администратору?
Всё запускайте от имени администратора.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу