И вновь Утилита атрибутов

sulimovs · Отправлено: **03:53, 18-08-2018** | #2

https://gyazo.com/cf15ec71a051bc36a7bb1a06bfe7b6fa

akok · Отправлено: **12:53, 18-08-2018** | #3

А зачем вам активация если у вас уже сборка варезная?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Nano Service Pack - деинсталируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('NanoServicePackUpdate64', 4);
 QuarantineFile('C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll', '');
 QuarantineFile('C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll', '');
 QuarantineFile('C:\Program Files\Common Files\service_pack.bat', '');
 QuarantineFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '');
 QuarantineFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe', '');
 QuarantineFile('C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe', '');
 QuarantineFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '');
 QuarantineFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '');
 DeleteFile('C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll', '64');
 DeleteFile('C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll', '64');
 DeleteFile('C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\KyLhuMX.dll', '64');
 DeleteFile('C:\Program Files\Common Files\service_pack.bat', '64');
 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '32');
 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe', '64');
 DeleteFile('C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe', '64');
 DeleteFile('C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe', '64');
 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '32');
 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe', '64');
 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '32');
 DeleteFile('C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe', '64');
 DeleteFile('C:\Windows\system32\Tasks\AppLoaderHelpers', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\AppLoaderPM', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\beOCYtHeekifIoaptkd2', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\CookieFM_Update', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\ELFGeoSXulPTtN', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\emgZMQDtMWefewpaA2', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\NanoPackTask', 'x64');
 DeleteFile('C:\Windows\system32\Tasks\NanoPackUpdate_6.1.1', 'x64');
 DeleteService('NanoServicePackUpdate64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'JServicesManager');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'JServicesManager');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKCU\..\StartupApproved\Run: [JServicesManager] = C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe (2018/08/18)
O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader] = C:\Users\sulim\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3 (2018/08/18)
O4 - HKCU\..\StartupApproved\Run: [YoutubeDownloader_upd] = C:\Users\sulim\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3 (2018/08/18)
O4-32 - HKLM\..\Run: [JServicesManager] = C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) ELFGeoSXulPTtN - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\uHknEAdBTknU2\NJhFvOPbMPfQx.dll",#1
O22 - Task: (disabled) NanoPackUpdate_6.1.1 - C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe /silentall -nofreqcheck -nogui (Microsoft)
O22 - Task: (disabled) beOCYtHeekifIoaptkd2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\psQGvPhyrVgGC\YilwSDl.dll",#1
O22 - Task: (disabled) emgZMQDtMWefewpaA2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\KyLhuMX.dll",#1
O22 - Task: AppLoaderHelpers - C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe
O22 - Task: AppLoaderPM - C:\Program Files\SystemNanoPacks\Nano Service Pack\nano.exe
O22 - Task: CookieFM_Update - C:\Users\sulim\AppData\Roaming\Cookie FM\fmupd.exe
O22 - Task: NanoPackTask - C:\Program Files\Common Files\service_pack.bat (Microsoft)
O23 - Service S3: SystemUpdate64 - (NanoServicePackUpdate64) - C:\Program Files\SystemNanoPacks\Nano Service Pack\NanoServicePackUpdater.exe /runservice

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sulimovs · CollectionLog-2018.08.18-16.39.zip

Итак сделал все по инструкции за все время Утилита атрибутов в диспетчере уже не появлялась теперь.

в HijackThis удалось найти только 2 строки, остальные отсутствовали.

FRST.txt заархивировал тк весил 150кб а загрузка пускала до 100кб.

Файл Карантин отправил на почту весил 100мб.

akok · Отправлено: **08:27, 21-08-2018** | #5

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\nnbyouahudi
2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\4g50abfnxqe
2018-08-18 05:01 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\2j1ok5qgace
2018-08-18 05:01 - 2018-08-18 05:11 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2018-08-18 05:01 - 2018-08-18 05:11 - 000000004 _____ C:\ProgramData\lock.dat
2018-08-18 05:01 - 2018-08-18 05:01 - 000000004 _____ C:\Users\Все пользователи\irw.fapc
2018-08-18 05:01 - 2018-08-18 05:01 - 000000004 _____ C:\ProgramData\irw.fapc
2018-08-18 05:00 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\bnzeyapn1lq
2018-08-18 05:00 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\05vzfbigbja
2018-08-18 05:00 - 2018-08-18 05:00 - 000000000 ____D C:\Users\Все пользователи\SystemNanoPacks
2018-08-18 05:00 - 2018-08-18 05:00 - 000000000 ____D C:\ProgramData\SystemNanoPacks
2018-08-18 04:55 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\efmv1ogr0fl
2018-08-18 04:52 - 2018-08-18 06:20 - 000000000 ____D C:\Users\Все пользователи\vEzMzLdBFPJQBvVB
2018-08-18 04:52 - 2018-08-18 06:20 - 000000000 ____D C:\ProgramData\vEzMzLdBFPJQBvVB
2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\vvgc5lvrsm3
2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\k3pq2qzkqn1
2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\3zab1gvimvh
2018-08-18 04:51 - 2018-08-18 05:17 - 000000000 ____D C:\Users\sulim\AppData\Roaming\3xfp2sua00q
Task: {6702CC42-19E8-45D6-BC40-E77F98147CB4} - \CookieFM_Update -> No File <==== ATTENTION
Task: {79F59A37-AA0A-48D4-B75A-DA8A742876C4} - \beOCYtHeekifIoaptkd2 -> No File <==== ATTENTION
Task: {88400E51-7F37-4336-8818-2FBE57A25A02} - \DOnltRxNIhNBG2 -> No File <==== ATTENTION
Task: {A48E85DC-2000-4CB3-8134-15B2B2D0DFF8} - \NanoPackTask -> No File <==== ATTENTION
Task: {B7B375A8-001C-4BF0-A1D0-A14312A05A36} - \AppLoaderPM -> No File <==== ATTENTION
Task: {B91956AB-B164-4FF8-AB5C-2B519F53895E} - \AppLoaderHelpers -> No File <==== ATTENTION
Task: {DC22F707-8A41-41BB-BDFC-935B3CEA41E4} - \emgZMQDtMWefewpaA2 -> No File <==== ATTENTION
Task: {E3D0A39C-D84B-44E3-A95D-E7CB12206681} - \ELFGeoSXulPTtN -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [146]
FirewallRules: [{E74D70B3-0F3F-4AF4-BDF0-D505E87603FF}] => (Allow) C:\Program Files\SystemNanoPacks\Nano Service Pack\nsrv.exe
FirewallRules: [{BD32B315-CA6A-4A98-B8ED-60D052C3196E}] => (Allow) C:\Program Files\SystemNanoPacks\Nano Service Pack\BaseNanoServicePackUpdater.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

sulimovs · Отправлено: **14:33, 21-08-2018** | #6

Все сделал. В AdwCleaner были обнаружены угрозы по окончанию сканирования, но вы не написали стоит ли их исправлять, поэтому просто прикрепляю отчеты.

akok · Отправлено: **18:36, 22-08-2018** | #7

Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Что с проблемами?

sulimovs · Отправлено: **19:28, 22-08-2018** | #8

Сделал, 64 угрозы было 64 удалено. Отчет прикрепил.

Sandor · Отправлено: **16:31, 23-08-2018** | #9

Цитата akok:

Что с проблемами? »

Не ответили.

sulimovs · Отправлено: **16:41, 23-08-2018** | #10

Проблемы вроде ушли, Утилита в диспетчере не появляется, компьютер работает исправно