Решена Заражение explorer.exe

Di1090

Новый пользователь
Сообщения
14
Реакции
1
Здравствуйте!

По собственной глупости скачала архив в интернете и распаковала. После этого на рабочем столе появился ярлык "Войны престолов", "Поиск в интернете", "Войти в интернет". Ссылка на расположение файлов ведет в папку WINDOWS explorer.exe. Логи прилагаю.
 

Вложения

  • CollectionLog-2017.06.08-23.02.zip
    99.4 KB · Просмотры: 8
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 TerminateProcessByName('c:\users\user\appdata\local\sysnet\sysnet.exe');
 StopService('iscFlash');
 QuarantineFileF('c:\users\user\appdata\local\sysnet', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\user\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
 QuarantineFile('c:\users\user\appdata\local\sysnet\sysnet.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\7zSF2B7.tmp\iscflashx64.sys', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\JCRCHW~1.EXE', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\user\appdata\locallow\searchgo\searchgo.dll', '');
 QuarantineFile('C:\Users\user\appdata\local\searchgo\searchgo.exe', '');
 QuarantineFile('C:\Users\user\appdata\local\wupdate\wupdate.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\appdata\locallow\searchgo\searchgo.dll');
 DeleteFile('C:\Users\user\appdata\local\searchgo\searchgo.exe');
 DeleteFile('C:\Users\user\appdata\local\wupdate\wupdate.exe');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32');
 DeleteFile('c:\users\user\appdata\local\sysnet\sysnet.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\7zSF2B7.tmp\iscflashx64.sys', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\JCRCHW~1.EXE', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFileMask('c:\users\user\appdata\local\sysnet', '*', true);
 DeleteDirectory('c:\users\user\appdata\local\sysnet');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','yoossexijc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self');
 DeleteService('iscFlash');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Сделано!
 

Вложения

  • ClearLNK-09.06.2017_12-54.log
    4.4 KB · Просмотры: 4
  • AdwCleaner[S0].txt
    10.2 KB · Просмотры: 3
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Выполнено.

Ярлык "Войны престолов" остался.. :Scratch One S Head:
 

Вложения

  • AdwCleaner[C0].txt
    11.7 KB · Просмотры: 1
  • FRST.txt
    43.6 KB · Просмотры: 4
  • Addition.txt
    51.2 KB · Просмотры: 2
  • Shortcut.txt
    165.3 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\egp0p919.default-1397249525777\user.js [2014-09-06]
    2017-06-08 22:06 - 2017-06-09 12:54 - 00001552 _____ C:\Users\user\Desktop\Войти в Интернет.LNK
    2017-06-08 22:05 - 2017-06-09 13:51 - 00000000 ____D C:\Users\user\AppData\Local\Войны престолов
    2017-06-08 22:05 - 2017-06-08 22:05 - 00001638 _____ C:\Users\user\Desktop\Войны престолов.lnk
    2017-06-08 22:03 - 2017-06-09 12:27 - 00000000 ____D C:\Users\user\AppData\Local\wupdate
    Task: {EC213D35-460D-4D28-A984-259F6D5551A2} - System32\Tasks\MSI => C:\Users\user\AppData\Roaming\Microsoft\msi.exe
    AlternateDataStreams: C:\Users\user\Cookies:4qYsvwCsGPvNC5Gq3nOiXo [2016]
    AlternateDataStreams: C:\Users\user\Local Settings:hl0wG3h8cphN2eiJZOX4uGKohh3y [2176]
    AlternateDataStreams: C:\Users\user\AppData\Local:hl0wG3h8cphN2eiJZOX4uGKohh3y [2176]
    AlternateDataStreams: C:\Users\user\AppData\Local\Application Data:hl0wG3h8cphN2eiJZOX4uGKohh3y [2176]
    FirewallRules: [{5849483D-DC4B-4BB5-9705-8797893107B4}] => (Allow) C:\Program Files\UBar\ubar.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделала все, как написано, но после нажатия Fix через некоторое время появилось сообщение "Программа FRST64 не работает...", компьютер не перезагружался
 

Вложения

  • Fixlog.txt
    4.2 KB · Просмотры: 1
Нужно было еще немного подождать. Перегрузите вручную и сообщите что сейчас с проблемой.
 
Теперь все левые ярлыки исчезли :) Спасибо за помощь!
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделала
 

Вложения

  • SecurityCheck.txt
    12.6 KB · Просмотры: 2
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012213 Внимание! Скачать обновления
HotFix KB4012216 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.18.0 v.3.18.0 Внимание! Скачать обновления
Foxit Reader v.7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.3.1.23 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления
Adobe Flash Player 25 PPAPI v.25.0.0.127 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
VkontakteDJ Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Хорошо, все обновлю) Благодарю вас за помощь, тему можно закрывать)
 
Уважаемый консультант! Обнаружилась еще одна проблема, не знаю, нужно ли создавать отдельную тему, напишу сюда. Иногда при входе в учетную запись на каком-либо сайте (типа vk, яндекс почта), именно при нажатии кнопки "войти" перекидывает на рекламный сайт. В файле hosts вроде все в порядке, в свойствах браузера тоже... Использую Google Chrome.
 

Вложения

  • CollectionLog-2017.06.10-01.33.zip
    99.4 KB · Просмотры: 2
Поспешила с выводами, все-таки выскакивает периодически вкладка с рекламным сайтом.. :Sad:
 
Это заметно на каком-то конкретном сайте или на всех? Повторите лог FRST
 
Это заметно на каком-то конкретном сайте или на всех? Повторите лог FRST

На любом сайте, например, здесь в теме при нажатии кнопки "ответить" открылась вкладка с рекламным сайтом.
 

Вложения

  • FRST.txt
    49.5 KB · Просмотры: 3
  • Addition.txt
    55.3 KB · Просмотры: 3
  • Shortcut.txt
    163.7 KB · Просмотры: 2
Пока деинсталируйте VkontakteDJ. Кстати, какие браузеры показывают рекламу? (все или только конкретный)
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-1001 -> 7E394ACC2F9CE0267F52C87E31A22393 URL = hxxp://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=153241629319178491487004230273216998651&crg=&ppd=na&st=23&i=48&did=na
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-1001 -> {E32C39AA-5C89-47BC-8F45-3A7730B6288F} URL = 
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-1007 -> 7E394ACC2F9CE0267F52C87E31A22393 URL = hxxp://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=153241629319178491487004230273216998651&crg=&ppd=na&st=23&i=48&did=na
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-1007 -> 96529D4E98D717FD3C413680947DF735 URL = hxxp://mysearch.sweetpacks.com/?src=6&q={searchTerms}&st=12&i=48&did=na&ppd=na&barid=153241629319178491487004230273216998651
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-500 -> 7E394ACC2F9CE0267F52C87E31A22393 URL = hxxp://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=153241629319178491487004230273216998651&crg=&ppd=na&st=23&i=48&did=na
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-500 -> 96529D4E98D717FD3C413680947DF735 URL = hxxp://mysearch.sweetpacks.com/?src=6&q={searchTerms}&st=12&i=48&did=na&ppd=na&barid=153241629319178491487004230273216998651
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-500 -> {E32C39AA-5C89-47BC-8F45-3A7730B6288F} URL 
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-501 -> 7E394ACC2F9CE0267F52C87E31A22393 URL = hxxp://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=153241629319178491487004230273216998651&crg=&ppd=na&st=23&i=48&did=na
    SearchScopes: HKU\S-1-5-21-179193414-2787607217-2307573790-501 -> 96529D4E98D717FD3C413680947DF735 URL = hxxp://mysearch.sweetpacks.com/?src=6&q={searchTerms}&st=12&i=48&did=na&ppd=na&barid=153241629319178491487004230273216998651
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
В карантине было:
msi.exe - Trojan.Win32.Loskad.bsa
searchgo.dll - not-a-virus:AdWare.Win32.Agent.xxdhrx
 
Назад
Сверху Снизу