Решена Открытие браузера с dinoraptzor.org

Статус
В этой теме нельзя размещать новые ответы.

natrezzim

Новый пользователь
Сообщения
7
Реакции
0
При работе за компьютером сначала открылась командная строка, а после в "Автозагрузке" появился элемент с командой "cmd.exe /c start www.dinoraptzor.org". В дальнейшем при запуске ПК открывается браузер с данным сайтом.
Проверка антивирусами (avast, avg) ничего не выявила. Использовал "AdwCleaner", но не помогло.
При удалении строки в реестре данный элемент исчезал из "Автозагрузки" на некоторое время, но потом опять открывалась командная строка, и все по новой.
 

Вложения

  • CollectionLog-2019.05.18-12.21.zip
    51.6 KB · Просмотры: 4
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Grecha','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Grecha','x64');
 DeleteSchedulerTask('Grecha');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: Grecha - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Grecha /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Все сделал, лишь в HiJack This не было нужной строчки. (во время работы очень сильно вис компьютер, надеюсь, что так и должно быть))
 

Вложения

  • AdwCleaner[S03].txt
    1.5 KB · Просмотры: 2
  • CollectionLog-2019.05.18-13.36.zip
    57.6 KB · Просмотры: 2
Файл AdwCleaner[C00].txt тоже покажите.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
во время работы очень сильно вис компьютер, надеюсь, что так и должно быть
Если машина слабовата, то все может быть. +++ если включен был антивирус, то нагрузка была намного выше.
 
Сделал. Логи тут.
 

Вложения

  • AdwCleaner[C00].txt
    1.6 KB · Просмотры: 1
  • FRST.txt
    536 байт · Просмотры: 1
  • Addition.txt
    36.3 KB · Просмотры: 1
Отчёт FRST.txt неполный. Переделайте, пожалуйста (антивирус при этом временно отключите).
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-3243789550-1399299117-3026553852-1000\...\MountPoints2: {ea1c6eda-1679-11e9-9797-aaf70fa81254} - F:\setup.exe
    HKU\S-1-5-21-3243789550-1399299117-3026553852-1000\...\MountPoints2: {ea1c6ee0-1679-11e9-9797-aaf70fa81254} - H:\run.exe
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Воть:Bye:
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1
Проблема решена?
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Вот
 

Вложения

  • SecurityCheck.txt
    10.1 KB · Просмотры: 1
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Excel 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proof (German) 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (English) 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Russian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Ukrainian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proofing (Russian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (32-разрядная) v.5.70.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45231 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX & Plugins 64-bit v.32.0.0.114 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу