Доброго времени суток, уважаемые доктора)) случилась проблема, словил где то нежелетальный вирус, где оказался спуф.. После того как копирую какой либо номер для оплаты, при вставке происходит подмена номера на другой. Благо всегда проверяю при оплате, заметил это только недавно, т.к. до этого ничего не копировал. Прикладываю к этой теме свои логи. Буду весьма благодарен за вашу помощь! 167335

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

promo-provinces
Кнопка "Яндекс" на панели задач


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ из папки Автологера (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');
QuarantineFile('C:\ProgramData\propose-progress\bin.exe', '');
QuarantineFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '');
QuarantineFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '');
QuarantineFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '');
DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2526475123-1100838001-1066468635-1001');
DeleteSchedulerTask('bmgBVpqOflHGOSqbhq');
DeleteSchedulerTask('C:\Windows\Task\bmgBVpqOflHGOSqbhq.job');
DeleteSchedulerTask('C:\Windows\Task\wow64.job');
DeleteSchedulerTask('promo-provinces');
DeleteSchedulerTask('wow64');
DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');
DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');
DeleteFile('C:\ProgramData\propose-progress\bin.exe', '64');
DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '32');
DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '64');
DeleteFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '64');
DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '32');
DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK (http://dragokas.com/tools/ClearLNK.zip).

https://dragokas.com/tools/move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Ещё раз добрый день, отсуствовал пк, все действия проделаны, promo province неудалялось через unins, удалил с самого пк нашел его папку. Прикрепляю ClearLNK лог.
clearlnk : 167375

Вы всё "правильно перепутали" :)

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению »
А вы прикрепили CheckBrowserLnk.log

Карантин нужно отправить по форме или на почту, а не прикреплять к сообщению.
Если ещё возможно, удалите его из сообщения.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »
Этого тоже нет.

Ну, такая моя внимательность xD. Приношу извинения что сделал все наоборот. Отправил папку карантина по форме. Прикладываю логи ClearLNK и CollectionLog 167377 167378

Хорошо, продолжаем.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) только следующее:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 193.37.68.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 45.95.11.175
O22 - Task (.job): wow64.job - C:\Users\Данил\AppData\Local\Temp\4zr.exe (file missing)
O22 - Tasks: \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} - C:\Users\Данил\AppData\Roaming\amd64_microsoft-windows-s..llercommandlinetool_31bf3856ad364e35_10.0.19041.1_none_2a5f489c740a390b\mfxplugin32_hw.exe
O23 - Service S2: 3proxy tiny proxy server - (3proxy) - C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.exe "C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.cfg" --service (file missing)



Перезагрузите компьютер.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').