Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: malware bytes показывает много майнеров
Показать сообщение отдельно
SQx SQx вне форума

Аватара для SQx

Пользователь


Консультант


Сообщения: 92
Благодарности: 21

Профиль | Отправить PM | Цитировать

Здравствуйте,

Удалите Lavasoft(Web Companion), YoutubeAdBlock, Zaxar через установку программ в панели управления.


Сами прописывали в автозагрузку?
Код: Выделить весь код
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\debug.nfo (2018/10/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanevents.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfanparams.cfg (2018/06/23)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\fox\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\speedfansens.cfg (2018/06/23)


HiJackThis профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код: Выделить весь код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqdYvz-3--qNpMUBv4J8VJeL_EOEqsxmwfK9keTlqDBzoJkyi62Spq33H4smM4Egvibo3yL5PdxT0ooVnufm3genFLD5cMarvxvGz7IrQmeeplu7a4qmCCa0fBaguio5CEwxmhsv9gE3YZzlc0ZpRFtzyvblf&q={searchTerms}
O2 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll (file missing)
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {984AFA40-4BEC-457F-AEDE-FE3404A646FA} - C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2019/01/03)
O22 - Task: DvwLFWwXutwLxJgmB2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ooxzIAzTqruiVIszQdR\qmPklob.dll",#1
O22 - Task: SOVqgpLsuXhFCxp2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\fHDlqDVwU\MVvwqu.dll",#1
O22 - Task: UXshqEpiPQcXH2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\BuHcEEPgNwocAWVB\MpeHOhW.wsf"
O22 - Task: iYMvCriySoqaGgPjbmR2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qUgzYKxVLnesC\DKniSRP.dll",#1
O22 - Task: mMzvDpxKxjJVUr - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hUmbquBpttZU2\BMbVXvAwwqLuG.dll",#1


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 DelBHO('{984AFA40-4BEC-457F-AEDE-FE3404A646FA}');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','');
 QuarantineFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\WINDOWS\system32\Chanlaiwzheng.sys','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\kHoGPiheO.dll','32');
 DeleteFile('C:\Program Files (x86)\VKkhWVSisIE\tYcpbNg.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!



- Подготовьте и прикрепите лог сканирования AdwCleaner.

-------
CCNA, CCNP, CCNA Security, CCDA, CCDP, MCP

Отправлено: 15:51, 07-07-2019 | #4

Название темы: malware bytes показывает много майнеров