Подозрение на массу вирусов и вредоносных файлов

@sergey_lsi · Регистрация: 31.03.2015

Author24 — интернет-сервис помощи студентам

Добрый день! Вчера вечером 30.03.15 после необдуманного запуска некого .exe файла, в котором находилась нужная мне библиотека (взято из сети) видимо наустанавливалось множество вредоносного ПО. Была нарушена работа всех имеющихся браузеров. В свойствах ярлыка браузера прописан непонятный путь, открывается сразу несколько закладок на непонятные сайты. Плюс к этому, периодически на рабочем столе появляется ярлык и запускается ПО на установку Continue Live Installation. Скриншот и лог работы автологгера во вложении.

@Sandor · 31.03.2015, 10:29

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя sergey_lsi. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\nsoab65.tmpfs');
 TerminateProcessByName('c:\users\lsi\appdata\local\00000000-1427754881-0000-0000-448a5b99e718\bnst5fde.exe');
 TerminateProcessByName('c:\users\lsi\appdata\local\00000000-1427755046-0000-0000-448a5b99e718\cnsze6d9.tmp');
 TerminateProcessByName('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\jnsoe723.tmp');
 TerminateProcessByName('c:\users\lsi\appdata\local\temp\nss80e5.tmp');
 TerminateProcessByName('c:\users\lsi\appdata\local\temp\nss80e6.tmp');
 TerminateProcessByName('c:\users\lsi\appdata\local\00000000-1427755069-0000-0000-448a5b99e718\snsp3cd3.tmp');
 StopService('fytonuhu');
 StopService('kynepywo');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\nsoab65.tmpfs','');
 QuarantineFile('c:\users\lsi\appdata\local\00000000-1427754881-0000-0000-448a5b99e718\bnst5fde.exe','');
 QuarantineFile('C:\Users\LSI\AppData\Roaming\VOPackage\VOPackage.exe','');
 QuarantineFile('c:\users\lsi\appdata\local\00000000-1427755046-0000-0000-448a5b99e718\cnsze6d9.tmp', '');
 QuarantineFile('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\jnsoe723.tmp', '');
 QuarantineFile('c:\users\lsi\appdata\local\temp\nss80e5.tmp', '');
 QuarantineFile('c:\users\lsi\appdata\local\temp\nss80e6.tmp', '');
 QuarantineFile('c:\users\lsi\appdata\local\00000000-1427755069-0000-0000-448a5b99e718\snsp3cd3.tmp', '');
 QuarantineFile('C:\Users\LSI\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Windows\Temp\TS_D11B.tmp', '');
 DeleteFile('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\nsoab65.tmpfs','32');
 DeleteFile('C:\Users\LSI\AppData\Local\00000000-1427754881-0000-0000-448A5B99E718\bnst5FDE.exe','32');
 DeleteFile('c:\users\lsi\appdata\local\00000000-1427755046-0000-0000-448a5b99e718\cnsze6d9.tmp', '32');
 DeleteFile('c:\users\lsi\appdata\roaming\00000000-1427744028-0000-0000-448a5b99e718\jnsoe723.tmp', '32');
 DeleteFile('c:\users\lsi\appdata\local\temp\nss80e5.tmp', '32');
 DeleteFile('c:\users\lsi\appdata\local\temp\nss80e6.tmp', '32');
 DeleteFile('c:\users\lsi\appdata\local\00000000-1427755069-0000-0000-448a5b99e718\snsp3cd3.tmp', '32');
 DeleteFile('C:\Users\LSI\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Windows\Temp\TS_D11B.tmp', '32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteService('fytonuhu');
 DeleteService('kynepywo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@sergey_lsi · 31.03.2015, 19:54 **[ТС]**

Все запрашиваемые логи во вложении. Все по порядку было выполнено.

@Sandor · 31.03.2015, 20:41

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@sergey_lsi · 31.03.2015, 21:17 **[ТС]**

Все выполнил и прикрепил.

@Sandor · 01.04.2015, 08:10

Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):

Код

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dacsearch.ru

В остальном порядок. Проблема решена?

@sergey_lsi · 01.04.2015, 16:07 **[ТС]**

Строку пофиксю вечером, когда вернусь с работы, а так вроде все стало на свои места. Ярлыки браузеров в порядке, путь корректный, запуск идет без открытия "чужих" сайтов. Вчера после чистки проблем замечено не было. Спасибо за помощь.

@Sandor · 01.04.2015, 17:07

В завершение -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

@sergey_lsi · 02.04.2015, 09:22 **[ТС]**

Спасибо Sandor за помощь. Все выполнено.

@Sandor · 02.04.2015, 09:25

Удачи!

@sergey_lsi · 18.04.2015, 11:44 **[ТС]**

Добрый день! Подскажите пож-ста, прошло две недели после очистки ПК от вредоносного ПО, а я каждый день замечаю, что у меня после включения компьютера Физическая память сразу загружена на 95-99%, что соответственно не дает работать с системой. Это при том, что ничего еще не открыто, а если открыть браузер, то одна закладка открывается 5 минут и больше. ПК новый совершенно, собран в конце марта с нуля, 2 Gb оперативной памяти. Может где-то остались "хвосты", которые кушают мою память? Буду признателен за помощь. Скрины из диспетчера задач прикрепил.

@shestale · 18.04.2015, 13:13

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@sergey_lsi · 18.04.2015, 15:36 **[ТС]**

Во вложении.

@shestale · 18.04.2015, 16:32

Чисто, даже придраться не к чему.

@sergey_lsi · 18.04.2015, 22:24 **[ТС]**

Может так запускаются все необходимые службы Windows 7 (64). Через минут 20-30 все проходит и физ.память приходит в норму. В любом случае спасибо, что уделили внимание. Буду мониторить дальше.

@shestale · 19.04.2015, 07:09

Удачи!

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.04.2015, 13:13	12
	Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	31.03.2015, 20:41	4
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	01.04.2015, 08:10	6
	Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!): Код R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dacsearch.ru В остальном порядок. Проблема решена? 0

@sergey_lsi 0 / 0 / 0 Регистрация: 31.03.2015 Сообщений: 19
	01.04.2015, 16:07 [ТС]	7
	Строку пофиксю вечером, когда вернусь с работы, а так вроде все стало на свои места. Ярлыки браузеров в порядке, путь корректный, запуск идет без открытия "чужих" сайтов. Вчера после чистки проблем замечено не было. Спасибо за помощь. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	01.04.2015, 17:07	8
	В завершение - Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 0

@sergey_lsi 0 / 0 / 0 Регистрация: 31.03.2015 Сообщений: 19
	02.04.2015, 09:22 [ТС]	9
	Спасибо Sandor за помощь. Все выполнено. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	02.04.2015, 09:25	10
	Удачи! 0

@sergey_lsi 0 / 0 / 0 Регистрация: 31.03.2015 Сообщений: 19
	18.04.2015, 11:44 [ТС]	11
	Добрый день! Подскажите пож-ста, прошло две недели после очистки ПК от вредоносного ПО, а я каждый день замечаю, что у меня после включения компьютера Физическая память сразу загружена на 95-99%, что соответственно не дает работать с системой. Это при том, что ничего еще не открыто, а если открыть браузер, то одна закладка открывается 5 минут и больше. ПК новый совершенно, собран в конце марта с нуля, 2 Gb оперативной памяти. Может где-то остались "хвосты", которые кушают мою память? Буду признателен за помощь. Скрины из диспетчера задач прикрепил. Миниатюры 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.04.2015, 16:32	14
	Чисто, даже придраться не к чему. 0

@sergey_lsi 0 / 0 / 0 Регистрация: 31.03.2015 Сообщений: 19
	18.04.2015, 22:24 [ТС]	15
	Может так запускаются все необходимые службы Windows 7 (64). Через минут 20-30 все проходит и физ.память приходит в норму. В любом случае спасибо, что уделили внимание. Буду мониторить дальше. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	19.04.2015, 07:09	16
	Удачи! 0