Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Как проверить взлом компьютера и установку вредоносных программ? (http://forum.oszone.net/showthread.php?t=337446)

alex1954 29-10-2018 20:36 2838305
Как проверить взлом компьютера и установку вредоносных программ?
 
Вложений: 2
Приветствую вас!
У меня проблемы с производительностью компьютера Windows 7 x64
Логи прикрепил. Спасибо!!!

Sandor 31-10-2018 09:44 2838587
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-1-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-5.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QMUdisk64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QQPCRtp.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TsDefenseBT64.sys', '');
 DeleteSchedulerTask('f4ac1646-0b1a-46b6-8a21-63aa62e97949-1-6');
 DeleteSchedulerTask('f4ac1646-0b1a-46b6-8a21-63aa62e97949-5_user');
 DeleteSchedulerTask('f4ac1646-0b1a-46b6-8a21-63aa62e97949-6');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-1-6.exe', '64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-5.exe', '64');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-6.exe', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QMUdisk64.sys', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QQPCRtp.exe', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TsDefenseBT64.sys', '64');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 DeleteService('TsDefenseBt');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

alex1954 11-11-2018 22:28 2840320
Вложений: 1
Новые логи прикрепил.Спасибо.

Sandor 12-11-2018 09:08 2840336
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

alex1954 16-11-2018 15:30 2841078
Вложений: 1
Отчёт прикрепил.Спасибо.

Sandor 16-11-2018 15:49 2841080
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

alex1954 18-11-2018 12:58 2841307
Вложений: 3
Добрый день!
Новые отчёты прикрепил.
Спасибо!

Sandor 19-11-2018 10:09 2841425
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    FF Extension: (The Safe Surfing) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ifc2ptis.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-12-16] [Legacy] [not signed]
    C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgbgnhmfbcifpkjofoojfplmfkmaiadn
    C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
    C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke
    Task: {28C25632-5DE4-4F34-8003-7ABBB1B99D7A} - \1014aviUpdateInfo -> No File <==== ATTENTION
    Task: {59343E10-7BB0-499D-9861-60569EEABCEF} - \Ball Browser -> No File <==== ATTENTION
    Task: {602AA5A4-6F85-4261-AC00-56D02385CE84} - \globalUpdateUpdateTaskMachineUA -> No File <==== ATTENTION
    Task: {84AFD96F-4D1D-47D4-BC2A-84F0518A6892} - \{8B1A3F85-5075-4DCD-8B3C-D05F5AB40200} -> No File <==== ATTENTION
    Task: {8AB15537-E4BB-4DC9-8BFC-A06F2C02399B} - \f4ac1646-0b1a-46b6-8a21-63aa62e97949-10_user -> No File <==== ATTENTION
    Task: {8DF4DEBC-0084-4218-A28A-3EAC83DD800B} - \globalUpdateUpdateTaskMachineCore -> No File <==== ATTENTION
    Task: {B1EFC64A-2F4A-4B73-BF37-0BBCF994C788} - \f4ac1646-0b1a-46b6-8a21-63aa62e97949-1-6 -> No File <==== ATTENTION
    Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\f4ac1646-0b1a-46b6-8a21-63aa62e97949-5_user.job => C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-5.exe <==== ATTENTION
    Task: C:\Windows\Tasks\f4ac1646-0b1a-46b6-8a21-63aa62e97949-6.job => C:\Program Files (x86)\CinemaPlus-4.2vV23.10\f4ac1646-0b1a-46b6-8a21-63aa62e97949-6.exe <==== ATTENTION
    AlternateDataStreams: C:\Windows:AstInfo [0]
    FirewallRules: [{D0F5F410-DB3A-49CC-937D-A74BD273C7FE}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe
    FirewallRules: [{1968711C-5BFB-4E31-82E6-D2C4B02247C2}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgmfapx.exe
    FirewallRules: [{F8BD7998-B8BE-4C51-9FB0-0D87C0D81594}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe
    FirewallRules: [{B2916548-7FE1-4C28-8A8B-692649DB6EF5}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe
    FirewallRules: [{8B56445D-2077-4D73-889E-9E8A99484950}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe
    FirewallRules: [{26F12BB5-5AE7-46C8-A202-5029F141CD22}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgdiagex.exe
    FirewallRules: [{478E0356-6F3B-4E11-A55D-539EBDE14CAC}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgemca.exe
    FirewallRules: [{21FEE7C0-2BFF-4330-B613-FF49FA8A3B26}] => (Allow) C:\Program Files (x86)\AVG\AVG2015\avgemca.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

alex1954 19-11-2018 12:11 2841443
Вложений: 1
Добрый день!!!
Новый лог прикрепил.
Спасибо!!!

Sandor 19-11-2018 12:37 2841450
Что сейчас с проблемой?

alex1954 20-11-2018 15:00 2841707
Добрый день!!!
Компьютер стал работать хорошо, быстро!
Огромное вам спасибо!!!

Sandor 20-11-2018 15:08 2841710
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Время: 13:21.

Время: 13:21.
© OSzone.net 2001-