Решена Вылетает окно ESET

Статус
В этой теме нельзя размещать новые ответы.

YOHIOloid

Новый пользователь
Сообщения
7
Реакции
0
Периодически вылетает угроза:
JS/ProxyChanger.EF троянская программа
35ec2-clip-13kb.png

Вот лог
 

Вложения

  • CollectionLog-2017.06.05-21.00.zip
    115.1 KB · Просмотры: 3
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('0302161496252842mcinstcleanup');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Roman\AppData\Roaming\win32taskhost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('B:\Temp\030216~1.EXE', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('B:\Temp\DATA.cmd', '');
 QuarantineFile('C:\Users\Public\0ld.C.Win7\0ld.D.DATA\Documents and Settings\Admin\Рабочий стол\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Public\0ld.C.Win7\0ld.D.DATA\Documents and Settings\Admin\Рабочий стол\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Public\0ld.C.Win7\0ld.D.DATA\Documents and Settings\Default User\Рабочий стол\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Public\0ld.C.Win7\0ld.D.DATA\Documents and Settings\Default User\Рабочий стол\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Public\0ld.C.Win7\0ld.D.DATA\Documents and Settings\User\Рабочий стол\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\Dima\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Windows\system32\tasks\InternetAA', '');
 QuarantineFile('C:\Windows\system32\tasks\InternetAE', '');
 QuarantineFile('C:\Windows\system32\tasks\brandnewcoms', '');
 QuarantineFile('C:\Windows\system32\tasks\httpbubskiv2rufreemanm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "brandnewcoms" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "httpbubskiv2rufreemanm" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Kinoroom Browser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('B:\Temp\030216~1.EXE', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('B:\Temp\DATA.cmd', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('C:\Users\Roman\AppData\Roaming\win32taskhost\', '*', true);
 DeleteDirectory('C:\Users\Roman\AppData\Roaming\win32taskhost\');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kjbwolrwrc');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 DeleteService('0302161496252842mcinstcleanup');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Вот файлы
Scan и ClearLNK-<Дата>.log
 

Вложения

  • ClearLNK-06.06.2017_10-46.log
    130.9 KB · Просмотры: 1
  • AdwCleaner[S0].txt
    20.5 KB · Просмотры: 1
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Почему то когда я запустил AdwCleaner 6.047 В нём очистку, то приложении перестало отвечать. И я не могу его выключить...
IMG_20170606_124649.jpg
 
Снимите через Диспетчер задач или перезагрузите принудительно компьютер.

Затем выполните очистку в AdwCleaner (п.1), загрузившись в безопасном режиме.

Второй пункт (логи FRST) проделайте в обычном режиме.
 
Я не могу зайти в безопасный режим... Не знаю завис чтоли
IMG_20170606_131547.jpg
После этой строки он не загружает безопасный режим, хоть уже принудительно перезапускал пк
Вот уже сижу жду уже 20 минут, так и не отвисает
А нет всё же зашёл
Вот файлы и я сделал очистку в AdwCleaner
 

Вложения

  • Addition.txt
    59.1 KB · Просмотры: 1
  • FRST.txt
    42.5 KB · Просмотры: 1
  • Shortcut.txt
    253 KB · Просмотры: 1
сделал очистку в AdwCleaner
Отчет покажите:
отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    AppInit_DLLs-x32: 婢￿Ȍ䵆汳€ => No File
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-1974309347-2533221104-2972174623-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html", Not-active:"chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B8B7EB09C-99AC-4CE7-92F5-1276A68A2D51%7D&gp=811041
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    S2 ihctrl32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
    S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [629648 2017-02-21] () <==== ATTENTION
    C:\Users\TEMP\DATA.cmd
    Task: {8E4FFC0B-2BCD-45CD-A4D1-22E621ECB3F7} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe  <==== ATTENTION
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    FirewallRules: [{84A738BB-7170-4E78-951C-323A9408EA02}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{C0480ABE-7E28-47E2-B9DF-B71792432D2E}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Вот отчёты
 

Вложения

  • Fixlog.txt
    5.2 KB · Просмотры: 1
  • AdwCleaner[C0].txt
    21.7 KB · Просмотры: 1
Что сейчас с проблемой?
 
Спасибо... Больше то окно не появляется и производительность пк увеличилось... Огромное спасибо за уделённое время)
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Вот
 

Вложения

  • SecurityCheck.txt
    13.4 KB · Просмотры: 1
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Запрос на повышение прав для обычных пользователей отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2015-08-19 07:25:25
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 8.0.16642 v.8.0.16642 Внимание! Скачать обновления
VLC media player v.2.1.5 Внимание! Скачать обновления
LibreOffice 4.3.0.4 v.4.3.0.4 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 8 - Russian v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional v6.4.6 v.6.4.6 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Intel Security True Key v.4.17.107.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
NewProduct 1.00 v.1.00 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу