Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вирус, сборщик логов не запускаеться после перезагрузки (http://forum.oszone.net/showthread.php?t=305151)

Najad 08-09-2015 17:24 2550993

вирус, сборщик логов не запускаеться после перезагрузки
 
Здравствуйте. Столкнулась с проблемой в 10 виндовс. Ноутбук часто тормозил, я списывала все на старое железо. Но после одной из перезагрузок на рабочем столе появился банер с рекламой какой-то програми-ускорителя для андроид. Я скачала Ваш сборник логов, запустила от имени админа. Запустился первый скрипт АВЗ, но после перезагрузки сборщик больше не запускался. Я скачала АВЗ, hijackthis и RSIT по-отдельности. В итоге при запуске стандартного скрипта № 3 АВЗ вибила ошибку. Остальные собранные логи прилагаю.

vvvyg 08-09-2015 21:27 2551122

Отключите временно в Comodo все компоненты: антивирус, файрволл, HIPS и AutoSandbox и повторите сбор логов.

Najad 08-09-2015 23:29 2551174

сделано)

vvvyg 09-09-2015 08:20 2551229

Временно отключите антивирус, файрволл и прочие компоненты защиты.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:

begin
 TerminateProcessByName('c:\users\nadia\appdata\local\temp\373.exe');
 QuarantineFile('C:\Users\Nadia\AppData\Local\Temp\C320C2E0-D1A35320-61FF1BA0-FD9465C0\1c371e4ae.sys', '');
 QuarantineFile('C:\Users\Nadia\appdata\roaming\windowsupdater\updater.exe', '');
 QuarantineFile('C:\Users\Nadia\AppData\Local\Host installer\1213653404_monster.exe', '');
 QuarantineFile('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF\44BF9FAA-612A-4C98-BD2F-ECD598631DCF.exe', '');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '');
 QuarantineFile('C:\Users\Nadia\AppData\Local\19305\Updater.exe', '');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
 QuarantineFile('c:\users\nadia\appdata\local\temp\373.exe', '');
 DeleteFile('c:\users\nadia\appdata\local\temp\373.exe', '32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '32');
 DeleteFile('C:\Users\Nadia\AppData\Local\19305\Updater.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job', '32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '32');
 DeleteFile('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF\44BF9FAA-612A-4C98-BD2F-ECD598631DCF.exe', '32');
 DeleteFile('C:\Users\Nadia\AppData\Local\Host installer\1213653404_monster.exe', '32');
 DeleteFile('C:\Users\Nadia\appdata\roaming\windowsupdater\updater.exe', '32');
 DeleteFileMask('C:\Users\Nadia\appdata\roaming\windowsupdater', '*', true);
 DeleteFileMask('C:\Users\Nadia\AppData\Local\Host installer', '*', true);
 DeleteFileMask('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF', '*', true);
 DeleteFileMask('C:\Program Files\Crossbrowse\Crossbrowse', '*', true);
 DeleteFileMask('C:\Users\Nadia\AppData\Local\19305', '*', true);
 DeleteDirectory('C:\Users\Nadia\appdata\roaming\windowsupdater');
 DeleteDirectory('C:\Users\Nadia\AppData\Local\Host installer');
 DeleteDirectory('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF');
 DeleteDirectory('C:\Program Files\Crossbrowse\Crossbrowse');
 DeleteDirectory('C:\Users\Nadia\AppData\Local\19305');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 ExecuteFile('schtasks.exe', '/delete /TN "44BF9FAA-612A-4C98-BD2F-ECD598631DCF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExi" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteSysClean;
 BC_QrFile('C:\Users\Nadia\AppData\Local\Temp\C320C2E0-D1A35320-61FF1BA0-FD9465C0\1c371e4ae.sys');
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Najad 09-09-2015 09:59 2551263

Цитата:

Цитата vvvyg
Временно отключите антивирус, файрволл и прочие компоненты защиты. »

отключила.
Цитата:

Цитата vvvyg
Отчёт о работе прикрепите. »

прикрепила.

Цитата:

Цитата vvvyg
Выполните скрипт в АВЗ »

а здесь... как только жму "виполнить" АВЗ бьет ошибку и завершает работу. Может, попробовать в безопасном режиме?

UPD: ради интереса по новой запустила сборщик логов. Работает как часы, а АВЗ в одиночку никак(

vvvyg 09-09-2015 12:12 2551313

А скриншот ошибки AVZ не могли бы приложить?
В Comodo перед запуском AVZ точно отключили ВСЕ компоненты - антивирус, файрволл, HIPS, AutoSandbox? Пропишите AVZ в доверенные файлы в расширенных настройках Comodo. Вообще говоря, Comodo - защитный продукт, требующий вдумчивой настройки и правильной реакции на его предупреждения. Судя по тому, что вредоносные программы работают, а AVZ нет - явно что-то не так. Если не получится выполнить скрипт в обычном режиме - загрузите Windows 10 в безопасном режиме.

Najad 09-09-2015 12:29 2551317

точно отключила. Даже из автозагрузки убрала.
попробую загрузится в безопасном режиме)

Najad 09-09-2015 12:52 2551322

Отчитаюсь: в безопасном режиме та самая ситуация. АВЗ сразу бьет ошибку. Может, проще удалить антивирус?

vvvyg 09-09-2015 12:57 2551325

Поправил скрипт, пробуйте в обычном режиме выполнить. Это не в антивирусе, а в 10-ке дело, скорее всего.

Najad 09-09-2015 13:22 2551334

все получилось!

vvvyg 09-09-2015 15:03 2551365

Выполните скрипт в AVZ:
Код:

begin
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '');
 QuarantineFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\jTbbjGoinxzGo.job', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '32');
 DeleteFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '32');
 DeleteFileMask('C:\Program Files\CinemaPlus-4.5vV08.09', '*', true);
 DeleteDirectory('C:\Program Files\CinemaPlus-4.5vV08.09');
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jTbbjGoinxzGo" /F', 0, 15000, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Najad 09-09-2015 19:20 2551455

карантин отправила.

vvvyg 09-09-2015 19:30 2551461

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите кэш и куки в браузерах и сообщите, что с проблемами.

Najad 09-09-2015 19:50 2551467

Все сделала. После того, как ноут перезагрузился, реклама появилась, хотя с момента создания темы я ее не видела. Почистила браузери, снова перезагрузилась. Пока баннера не видно

UPD: возможно ошибаюсь, но баннер появился повторно после инсталляции обновлений виндовс во время одной из перезагрузок ноута.

vvvyg 10-09-2015 12:22 2551680

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Najad 10-09-2015 12:33 2551686

сделано

vvvyg 10-09-2015 15:49 2551754

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text=
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo
Task: {3720B202-5F2F-4290-84BE-E4416B299A43} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {B61BB1BD-41BE-4C09-B8E7-77940E176597} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_147CE6BDE8B8738F81ABA3AC82DCD6AB"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки все компоненты антивируса, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

Najad 10-09-2015 16:40 2551768

Спасибо за помощь. Реклама не появлялася, ноут вроде чуть быстрее соображает. Заметила один нюанс, при закачке ехе-файлов система меня не спрашивает что с ним делать, а сразу закачивает на диск. Это поправить можно?

Sandor 10-09-2015 16:53 2551773

Цитата:

Цитата Najad
система меня не спрашивает что с ним делать, а сразу закачивает на диск »

Вероятно Вы подразумевали браузер, а не система, так? В настройках браузера как правило можно задать параметр - сразу закачивать в определенную папку или спрашивать место назначения.


Время: 15:21.

Время: 15:21.
© OSzone.net 2001-