Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   malware bytes показывает много майнеров (http://forum.oszone.net/showthread.php?t=341205)

Antarktik 07-07-2019 15:04 2878586
malware bytes показывает много майнеров
 
malware bytes показывает очень много вирусов,но компьютер не лагает вроде,а там показывает много майнеров,так вопрос в том,стоит ли всё чистить?

upd: не смог загрузить лог антивирусника так что кидаю ссылку на файл обменник https://dropmefiles.com/px8PT

SQx 07-07-2019 15:22 2878593
Здравствуйте,

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Antarktik 07-07-2019 15:33 2878596
Вложений: 1
Цитата:
Цитата SQx
Здравствуйте,
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. »
вот лог из логгера

SQx 07-07-2019 15:51 2878602
Здравствуйте,

Удалите Lavasoft(Web Companion), YoutubeAdBlock, Zaxar через установку программ в панели управления.


Сами прописывали в автозагрузку?
Код:
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\debug.nfo (2018/10/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanevents.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanparams.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfansens.cfg (2018/06/23)


HiJackThis профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
O2 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2019/01/03)
O22 - Task: DvwLFWwXutwLxJgmB2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ooxzIAzTqruiVIszQdR\qmPklob.dll",#1
O22 - Task: SOVqgpLsuXhFCxp2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\MVvwqu.dll",#1
O22 - Task: UXshqEpiPQcXH2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\BuHcEEPgNwocAWVB\MpeHOhW.wsf"
O22 - Task: iYMvCriySoqaGgPjbmR2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qUgzYKxVLnesC\DKniSRP.dll",#1
O22 - Task: mMzvDpxKxjJVUr - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hUmbquBpttZU2\BMbVXvAwwqLuG.dll",#1


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DelBHO('{984AFA40-4BEC-457F-AEDE-FE3404A646FA}');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\WINDOWS\system32\Chanlaiwzheng.sys','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','32');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!



- Подготовьте и прикрепите лог сканирования AdwCleaner.

Antarktik 07-07-2019 16:11 2878609
Цитата:
Цитата SQx
Сами прописывали в автозагрузку?
Код:
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\debug.nfo (2018/10/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanevents.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanparams.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\P »
да,сам,кроме первого

Цитата:
Цитата SQx
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина »
у меня не 7z,а zip
имя карантина: 2019.07.07_quarantine_76cdb2bad9582d23c1f6f4d868218d6c.zip

Antarktik 07-07-2019 16:17 2878610
Вложений: 1
вот лог adwcleaner

SQx 07-07-2019 17:37 2878626
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.





AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SetServiceStart('RemoteRegistry', 4);
ExecuteRepair(14);
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
После выполнения скрипта компьютер перезагрузится.

Файл fystemRoot.log из папки AVZ прикрепите в следующем сообщение.

Antarktik 07-07-2019 21:21 2878664
Вложений: 2
Цитата:
Цитата SQx
После выполнения скрипта компьютер перезагрузится. »
компьютер не перезагрузился..

SQx 07-07-2019 21:52 2878670
Приложите пожалуйста новые логи согласно правилам раздела.
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.
Необходимо убедиться, что исправление службы Windows Update прошло удачно.

Цитата:
Цитата Antarktik
компьютер не перезагрузился.. »
Спасибо за детали, можно это проигнорировать, так как этот пункт был исключен из фикса.

Antarktik 07-07-2019 22:37 2878684
Вложений: 1
вот

SQx 07-07-2019 22:52 2878686
Вы перегружали ПК, после выполнения предыдущего фикса?
до сих пор:
Код:
Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""
Могли бы показать результат следующей команды в командной строке (cmd.exe):
Код:
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv"

Antarktik 07-07-2019 23:12 2878692
Вложений: 1
Цитата:
Цитата SQx
Вы перегружали ПК, после выполнения предыдущего фикса? »
нет
Цитата:
Цитата SQx
Могли бы показать результат следующей команды в командной строке (cmd.exe): »
надеюсь правильно всё заскринил

SQx 07-07-2019 23:23 2878693
На вашей системе отсутствует служба Windows Update. Вы ее сами удаляли?

Antarktik 07-07-2019 23:28 2878694
Цитата:
Цитата SQx
На вашей системе отсутствует служба Windows Update. Вы ее сами удаляли? »
нет

SQx 08-07-2019 00:27 2878703
По пробуйте воспользоваться следующей утилитой для его восстановления https://aka.ms/wudiag


Время: 17:38.

Время: 17:38.
© OSzone.net 2001-