[решено] Непобедимый вирус загружает каждый день своих друзей

Sandor · Отправлено: **20:59, 27-02-2016** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Program Files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Users\Taldir\ReportSender\ReportSender.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "ReportSender" /F', 0, 15000, true);
 DeleteFile('C:\Users\Taldir\ReportSender\ReportSender.exe','32');
 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\filter', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
 DeleteDirectory('C:\Program Files (x86)\filter');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('CppWindowsService');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Еще раз:

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

TaldirSochi · Отправлено: **21:44, 27-02-2016** | #3

Здравствуйте Sandor!
Спасибо за помощь, файл quarantine.zip отправил по форме, AdwCleaner[S1].txt прилагаю.

TaldirSochi · Отправлено: **12:01, 28-02-2016** | #4

сегодня началось все опять по новой, загружается нежелательное ПО, меняются поисковики и т.д.

Sandor · Отправлено: **16:12, 28-02-2016** | #5

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню "Options" ("Настройки") отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

TaldirSochi · Отправлено: **17:28, 28-02-2016** | #6

Сделал

Sandor · Отправлено: **18:20, 28-02-2016** | #7

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
FF Extension: No Name - C:\Users\Taldir\AppData\Roaming\Mozilla\Firefox\Profiles\zusjiyl7.default\extensions\deskCutv2@gmail.com [not found]
CHR StartupUrls: Profile 1 -> "hxxp://www.mysites123.com/?type=hp&ts=1456308536&z=344ec08218396a011e641b5gfz8w4qac1e6bbw8c2q&from=amt&uid=maxtorxstm3320820a_5qf4lhw0xxxx5qf4lhw0","hxxp://www.istartpageing.com/?type=hp&ts=1456309684&z=875563b11abd735d5bc62b2g9zew1qec3eftbq2bbz&from=age&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456394987&z=42f8b49861848875ffea7degez9w0qfc8t3zdtcb3m&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://mail.ru/cnt/10445?gp=789185","hxxp://www.mysites123.com/?type=hp&ts=1456483747&z=29e86323086fda5606082c6g3zaw6q9zfb3c1m1zcm&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456562236&z=2055853483d9ca36130484dgfz4w0q6w2qao7o2c1w&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456648605&z=8cb22e865db6c890cc7fc2ag8z1weq1q6z7bcqde5w&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0"
2016-02-23 23:13 - 2016-02-28 14:59 - 00000080 _____ C:\Users\Taldir\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
2016-02-21 10:31 - 2016-02-27 21:28 - 00000000 ____D C:\Users\Taldir\ReportSender
2016-02-21 10:31 - 2016-02-23 13:16 - 00000000 ____D C:\Users\Taldir\AppData\Local\iJAiXWo
2016-02-21 10:31 - 2016-02-21 10:41 - 00000000 ____D C:\Program Files (x86)\HDefsoft
2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\Users\Все пользователи\GMGeGBQ
2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\Users\Taldir\AppData\Roaming\FreeVPN
2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\ProgramData\GMGeGBQ
FirewallRules: [{50C1FB54-2EC6-4B20-B6CE-15D798A25787}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{E6D272A5-1497-44D6-B6D7-08364C0B2860}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [Torrentex-In-TCP] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [Torrentex-In-UDP] => (Allow) C:\Torrentex\Torrentex.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

TaldirSochi · Отправлено: **18:40, 28-02-2016** | #8

Прилагаю фикслог.

В настоящее время ПК ведет себя адекватно, нежелательного ПО не появляется, но это можно будет проверить только завтра, т.к. вирус проявляет активность на следующий день.
Из следов - в фаерфоксе осталась страница маил.ру (https://mail.ru/cnt/11956636?fr=ffhp1.0.2&gp=789185) в качестве домашней страницы, и не меняется. больше ничего не замечено.

Sandor · Отправлено: **20:32, 28-02-2016** | #9

Цитата TaldirSochi:

в фаерфоксе осталась страница маил.ру в качестве домашней страницы, и не меняется »

Удалите расширение

Цитата:

Домашняя страница Mail.Ru

Затем:

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

TaldirSochi · Отправлено: **21:02, 28-02-2016** | #10

Спасибо, выполнил рекомендации, загрузил обновления, лог уязвимостей прилагаю.
После обновления, AVZ уязвимостей не обнаружил