Решена Подхватил майнер, помогите оч срочно

Статус
В этой теме нельзя размещать новые ответы.

X_DIM

Пользователь
Сообщения
37
Реакции
2
вот лог. В хроме все равно реклама, и только делаешь новую вкладку открывается сайт my search
 

Вложения

  • TDSSKiller.3.1.0.17_31.05.2018_22.07.53_log.txt
    219.1 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
В хроме все равно реклама, и только делаешь новую вкладку открывается сайт my search
Потому, что зараза то еще не удалена полностью.
К логу автологера еще нужен будет
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
архив отправил
[automerge]1527783479[/automerge]
а сканирование кончилось, обезвреживать или сначала лог?
[automerge]1527783544[/automerge]
вот лог
 

Вложения

  • AdwCleaner[S00].txt
    6.4 KB · Просмотры: 1
Последнее редактирование:
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
AdwCleaner Adw? Сначала лог
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
вот лог
 

Вложения

  • AdwCleaner[C01].txt
    5.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
Свежий лог автологера ждем
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
вот
 

Вложения

  • CollectionLog-2018.05.31-23.18.zip
    92.7 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
SetServiceStart('Starter Check', 4);
QuarantineFile('C:\Users\X_DIM\AppData\Local\1973CE~1\{119A6~1.','');
QuarantineFile('C:\PROGRA~3\1d479c60\119a6428.dll','');
QuarantineFile('C:\ProgramData\TaskbarWindows\enplus.exe','');
QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe','');
DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe','32');
DeleteFile('C:\PROGRA~3\1d479c60\119a6428.dll','32');
DeleteFile('C:\Users\X_DIM\AppData\Local\1973CE~1\{119A6~1.','32');
ExecuteFile('schtasks.exe', '/delete /TN "1A840E90-A57A-50E7-1095-7627D28383CE" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "300E0444-6E75-00D4-8C2E-786DE3115137" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Starter" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "QuickLaunch" /F', 0, 15000, true);
DeleteService('Starter Check');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O22 - ScheduledTask: (Ready) QuickLaunch - \Microsoft - "C:\ProgramData\TaskbarWindows\winstar.exe" /quicklaunch (file missing)
O22 - ScheduledTask: (Ready) Starter - \Microsoft\Windows - "C:\ProgramData\TaskbarWindows\winstar.exe" /updatecheck (file missing)
O22 - ScheduledTask: (Ready) {300E0444-6E75-00D4-8C2E-786DE3115137} - {root} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\1d479c60\119a6428.dll"
O22 - ScheduledTask: (Running) 1A840E90-A57A-50E7-1095-7627D28383CE - {root} - C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/5538a98eff15c0e4 /q" "C:\Users\X_DIM\AppData\Local\1973CE~1\{119A6~1."

Теперь свежий лог FRST
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
вот свежие логи
 

Вложения

  • Addition.txt
    90.3 KB · Просмотры: 1
  • FRST.txt
    54.4 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal:C:\Windows\Explorer.exe; C:\Users\X_DIM\AppData\Roaming\Mozilla\Firefox\Profiles\x6ot5dpu.X_DIM_COM;C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: F - F:\Windows\AutoRun.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: G - »ЄОЄКЦ»ъЦъКЦ°ІЧ°Птµј.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: I - I:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {2739738f-6414-11e8-8805-c01885a665e7} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {3941f41e-4783-11e7-b533-3c970e1c2f97} - G:\Lenovo_Suite.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {3acfbe0a-3bb2-11e7-b388-3c970e1c2f97} - F:\AutoRun.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {3acfbe10-3bb2-11e7-b388-3c970e1c2f97} - F:\Windows\AutoRun.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {415a39df-18a2-11e8-b8ca-c01885a665e7} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {422b4c1d-c0b0-11e7-b0c9-c01885a665e7} - »ЄОЄКЦ»ъЦъКЦ°ІЧ°Птµј.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {4a7d8493-2d21-11e7-a567-c01885a665e7} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {771c71e0-be16-11e7-b63e-c01885a665e7} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {862665b0-3ff5-11e8-a462-c01885a665e7} - F:\Windows\AutoRun.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {91189d45-36a2-11e7-bd16-02285a030077} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {91189d6d-36a2-11e7-bd16-02285a030077} - F:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-2390446518-205492310-1936927454-1000\...\MountPoints2: {ad586d8a-cd9a-11e7-8923-c01885a665e7} - F:\HTC_Sync_Manager_PC.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Toolbar: HKU\S-1-5-21-2390446518-205492310-1936927454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    2018-05-15 01:35 - 2018-05-15 01:33 - 002949120 _____ C:\Users\Все пользователи\85303
    2018-05-15 01:35 - 2018-05-15 01:33 - 002949120 _____ C:\Users\Все пользователи\77523
    2018-05-15 01:35 - 2018-05-15 01:33 - 002949120 _____ C:\ProgramData\85303
    2018-05-15 01:35 - 2018-05-15 01:33 - 002949120 _____ C:\ProgramData\77523
    2018-05-15 01:35 - 2017-07-20 02:54 - 000040960 _____ C:\Users\Все пользователи\82329
    2018-05-15 01:35 - 2017-07-20 02:54 - 000040960 _____ C:\ProgramData\82329
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000063 _____ C:\Users\Все пользователи\nmtemp
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000063 _____ C:\ProgramData\nmtemp
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 __SHD C:\Users\Все пользователи\{Y0RCUT8L-AO1W-4KHA-GL53I9RPX1CK}
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 __SHD C:\Users\Все пользователи\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 __SHD C:\ProgramData\{Y0RCUT8L-AO1W-4KHA-GL53I9RPX1CK}
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 __SHD C:\ProgramData\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 ____D C:\Users\Все пользователи\5e08619e-07c1-4bb3-bdd5-26f806b55e4d
    2018-05-15 01:34 - 2018-05-15 01:34 - 000000000 ____D C:\ProgramData\5e08619e-07c1-4bb3-bdd5-26f806b55e4d
    2018-05-15 01:34 - 2018-05-15 01:34 - 001558528 ___SH () C:\ProgramData\MicrosoftCare.exe
    2018-05-15 01:34 - 2018-05-15 01:34 - 001228288 ___SH () C:\ProgramData\MicrosoftClip.exe
    2018-05-21 15:04 - 2018-05-29 19:34 - 000000285 _____ () C:\ProgramData\update.exe
    2018-05-15 01:34 - 2018-05-15 01:34 - 001558528 ___SH () C:\Users\Все пользователи\MicrosoftCare.exe
    2018-05-15 01:34 - 2018-05-15 01:34 - 001228288 ___SH () C:\Users\Все пользователи\MicrosoftClip.exe
    2018-05-21 15:04 - 2018-05-29 19:34 - 000000285 _____ () C:\Users\Все пользователи\update.exe
    1601-01-03 21:33 - 1601-01-03 21:33 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\quVSuKEsyAEU.exe
    1601-01-03 21:33 - 1601-01-03 21:33 - 000073216 ____N (Microsoft Corporation) C:\Users\X_DIM\AppData\Roaming\ExQpFUYUdVt.exe
    AlternateDataStreams: C:\Users\Public\AppData:CSM [221]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
так это лог первого кода
(большого)
[automerge]1527793803[/automerge]
а это второй код маленький
[automerge]1527793973[/automerge]
через почту не могу отправить
Ваше письмо, вероятно,
содержит вирус
 

Вложения

  • Fixlog.txt
    11.1 KB · Просмотры: 1
  • Fixlog.txt
    563 байт · Просмотры: 1
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
Давайте файл в любой файлообменник, а ссылку отправьте мне в ЛС
 

X_DIM

Пользователь
Сообщения
37
Реакции
2
отправил Вам архивчик
[automerge]1527796441[/automerge]
Да, и вы не ответили на мой вопрос: Какой лучше антивир поставить, чтобы больше так не заразиться? Посоветуйте как профессионал, может несколько, у каждого антивира свои плюсы ведь.
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271
Какой лучше антивир поставить, чтобы больше так не заразиться?
А таких не существует, можно конечно брать из топ 10, что вам больше нравится...
AV-Test 2018: Лучшие антивирусы для Windows 10

отправил Вам архивчик
Google блокирует исполняемые файлы в архиве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,824
Реакции
14,271

X_DIM

Пользователь
Сообщения
37
Реакции
2
вроде пока все норм, ни рекламы, ни зависаний. и ноут стал работать намного живее. Просто не знаю, чтобы я делал без Вас)))
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу