И вновь Утилита атрибутов - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - И вновь Утилита атрибутов (http://forum.oszone.net/showthread.php?t=336267)

И вновь Утилита атрибутов

Доброго времени суток форумчане! надежда только на вас. Скачал архив с программой для активации виндовс распаковал и понеслось, установилась куча программ открывался постоянно браузер. Лечил 2 антивирусами, Авастом и Zemana. Вирусы нашлись и удалились но появился Утилита атрибутов который грузит ЦП на 100%. Логи вроде правильно сделал по инструкциям.

А зачем вам активация если у вас уже сборка варезная?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Nano Service Pack - деинсталируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

 SetServiceStart('NanoServicePackUpdate64', 4);

 QuarantineFile('C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll', '');

 QuarantineFile('C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll', '');

 QuarantineFile('C:\Program Files\Common Files\service_pack.bat', '');

 QuarantineFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '');

 QuarantineFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe', '');

 QuarantineFile('C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe', '');

 QuarantineFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '');

 QuarantineFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '');

 DeleteFile('C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll', '64');

 DeleteFile('C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll', '64');

 DeleteFile('C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\KyLhuMX.dll', '64');

 DeleteFile('C:\Program Files\Common Files\service_pack.bat', '64');

 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '32');

 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '64');

 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe', '64');

 DeleteFile('C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe', '64');

 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '32');

 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '64');

 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '32');

 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '64');

 DeleteFile('C:\Windows\system32\Tasks\AppLoaderHelpers', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\AppLoaderPM', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\beOCYtHeekifIoaptkd2', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\CookieFM_Update', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\ELFGeoSXulPTtN', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\emgZMQDtMWefewpaA2', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\NanoPackTask', 'x64');

 DeleteFile('C:\Windows\system32\Tasks\NanoPackUpdate_6.1.1', 'x64');

 DeleteService('NanoServicePackUpdate64');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'JServicesManager');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'JServicesManager');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

   BC_Activate;

  ExecuteSysClean;

  ExecuteWizard('SCU', 2, 3, true);

 BC_ImportALL;

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKCU\..\StartupApproved\Run: [JServicesManager] = C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe (2018/08/18)

O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader] = C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (2018/08/18)

O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader_upd] = C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (2018/08/18)

O4-32 - HKLM\..\Run: [JServicesManager] = C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe

O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

O22 - Task: (disabled) ELFGeoSXulPTtN - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll",#1

O22 - Task: (disabled) NanoPackUpdate_6.1.1 - C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe /silentall -nofreqcheck -nogui (Microsoft)

O22 - Task: (disabled) beOCYtHeekifIoaptkd2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll",#1

O22 - Task: (disabled) emgZMQDtMWefewpaA2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\KyLhuMX.dll",#1

O22 - Task: AppLoaderHelpers - C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe

O22 - Task: AppLoaderPM - C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe

O22 - Task: CookieFM_Update - C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe

O22 - Task: NanoPackTask - C:\Program Files\Common Files\service_pack.bat (Microsoft)

O23 - Service S3: SystemUpdate64 - (NanoServicePackUpdate64) - C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe /runservice

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Итак сделал все по инструкции за все время Утилита атрибутов в диспетчере уже не появлялась теперь.

в HijackThis удалось найти только 2 строки, остальные отсутствовали.

FRST.txt заархивировал тк весил 150кб а загрузка пускала до 100кб.

Файл Карантин отправил на почту весил 100мб.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: 2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\nnbyouahudi 2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\4g50abfnxqe 2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\2j1ok5qgace 2018-08-18 05:01 - 2018-08-18 05:11 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2018-08-18 05:01 - 2018-08-18 05:11 - 000000004 _____ C:\ProgramData\lock.dat 2018-08-18 05:01 - 2018-08-18 05:01 - 000000004 _____ C:\Users\Все пользователи\irw.fapc 2018-08-18 05:01 - 2018-08-18 05:01 - 000000004 _____ C:\ProgramData\irw.fapc 2018-08-18 05:00 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\bnzeyapn1lq 2018-08-18 05:00 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\05vzfbigbja 2018-08-18 05:00 - 2018-08-18 05:00 - 000000000 ____D C:\Users\Все пользователи\SystemNanoPacks 2018-08-18 05:00 - 2018-08-18 05:00 - 000000000 ____D C:\ProgramData\SystemNanoPacks 2018-08-18 04:55 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\efmv1ogr0fl 2018-08-18 04:52 - 2018-08-18 06:20 - 000000000 ____D C:\Users\Все пользователи\vEzMzLdBFPJQBvVB 2018-08-18 04:52 - 2018-08-18 06:20 - 000000000 ____D C:\ProgramData\vEzMzLdBFPJQBvVB 2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\vvgc5lvrsm3 2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\k3pq2qzkqn1 2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\3zab1gvimvh 2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\3xfp2sua00q Task: {6702CC42-19E8-45D6-BC40-E77F98147CB4} - \CookieFM_Update -> No File <==== ATTENTION Task: {79F59A37-AA0A-48D4-B75A-DA8A742876C4} - \beOCYtHeekifIoaptkd2 -> No File <==== ATTENTION Task: {88400E51-7F37-4336-8818-2FBE57A25A02} - \DOnltRxNIhNBG2 -> No File <==== ATTENTION Task: {A48E85DC-2000-4CB3-8134-15B2B2D0DFF8} - \NanoPackTask -> No File <==== ATTENTION Task: {B7B375A8-001C-4BF0-A1D0-A14312A05A36} - \AppLoaderPM -> No File <==== ATTENTION Task: {B91956AB-B164-4FF8-AB5C-2B519F53895E} - \AppLoaderHelpers -> No File <==== ATTENTION Task: {DC22F707-8A41-41BB-BDFC-935B3CEA41E4} - \emgZMQDtMWefewpaA2 -> No File <==== ATTENTION Task: {E3D0A39C-D84B-44E3-A95D-E7CB12206681} - \ELFGeoSXulPTtN -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [146] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [146] FirewallRules: [{E74D70B3-0F3F-4AF4-BDF0-D505E87603FF}] => (Allow) C:\Program Files\SystemNanoPacks\Nano Service Pack\nsrv.exe FirewallRules: [{BD32B315-CA6A-4A98-B8ED-60D052C3196E}] => (Allow) C:\Program Files\SystemNanoPacks\Nano Service Pack\BaseNanoServicePackUpdater.exe EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделал. В AdwCleaner были обнаружены угрозы по окончанию сканирования, но вы не написали стоит ли их исправлять, поэтому просто прикрепляю отчеты.

Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Что с проблемами?

Сделал, 64 угрозы было 64 удалено. Отчет прикрепил.

Цитата:

Цитата akok

Что с проблемами? »

Не ответили.

Проблемы вроде ушли, Утилита в диспетчере не появляется, компьютер работает исправно

Сделал. Судя по всему все?

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44520 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
AusLogics BoostSpeed 10.0.13.0 v.10.0.13.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.