Кладезь зловредов

@Kollaidermen · Регистрация: 04.05.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте (ещё раз)!
Знакомый воспитанник Духовной семинарии принёс Samsung R428. Жалобы на

, глюки, странное поведение, зависания. При беглом обзоре обнаруживаю, что для защиты использовались только молитвы

. Хорошо хоть, что для изгнания компьютерной нечисти не окропляли святой водой

!
В общем, при сканировании Dr. Web Cureit нашлось 17 гадов, три из которых Доктор порешить не смог. Я установил и прогнал через Auslogic boost speed, удалил несколько программ через uninstal tool. Полагаюсь в дальнейшем на ваш опыт! Хотелось бы избавиться от напасти и защититься в будущем. Тщательно выполню все советы и рекомендации

.
Аминь!

CollectionLog-2015.07.31-17.44.zip

@thyrex · 31.07.2015, 23:03

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrsetup.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrsetup.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте при помощи формы над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Kollaidermen · 01.08.2015, 00:17 **[ТС]**

При попытке отправить файл quarantine.zip при помощи формы сверху:

CollectionLog-2015.08.01-00.13.zip

@thyrex · 01.08.2015, 09:53

В архиве не хватает логов AVZ

@Kollaidermen · 01.08.2015, 20:34 **[ТС]**

virusinfo_syscure.zip
virusinfo_syscheck.zip

@thyrex · 01.08.2015, 20:39

Запустите Autologger и сделайте все, как положено по правилам

Отправьте c:\quarantine.zip при помощи этой формы

@Kollaidermen · 01.08.2015, 21:25 **[ТС]**

CollectionLog-2015.08.01-21.24.zip

@thyrex · 02.08.2015, 10:07

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Kollaidermen · 02.08.2015, 21:08 **[ТС]**

FRST.7z
Addition.txt

@thyrex · 03.08.2015, 01:25

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2927681760-4281326542-1524662815-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchsimple-a.akamaihd.net/?affID=is
SearchScopes: HKU\S-1-5-21-2927681760-4281326542-1524662815-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://searchsimple-a.akamaihd.net/?affID=is&q={searchTerms}&r=380
SearchScopes: HKU\S-1-5-21-2927681760-4281326542-1524662815-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://searchsimple-a.akamaihd.net/?affID=is&q={searchTerms}&r=380
SearchScopes: HKU\S-1-5-21-2927681760-4281326542-1524662815-1001 -> {7BB2D0CD-5558-4396-BC4E-C01BBD289888} URL = http://q.search-simple.com/?affID=na&q={searchTerms}&r=587
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
FF DefaultSearchEngine: Yahoo! Search
FF SelectedSearchEngine: Yahoo! Search
OPR Extension: (Greener Web) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\gjjofdeodiofmmdlnbgpeekgefglmkfj [2015-04-27]
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@Kollaidermen · 03.08.2015, 09:03 **[ТС]**

Fixlog.txt

@thyrex · 03.08.2015, 09:47

Что с проблемой?

@Kollaidermen · 03.08.2015, 10:05 **[ТС]**

Похоже, кирдык проблеме

!
Благодарность,респект и уважуха! Пацаны ващще ребята!

@thyrex · 03.08.2015, 10:26

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@Kollaidermen · 03.08.2015, 10:41 **[ТС]**

SecurityCheck.txt

@thyrex · 03.08.2015, 10:58

Сделайте лог AdwCleaner

@Kollaidermen · 03.08.2015, 13:43 **[ТС]**

AdwCleaner[R0].txt

@Sandor · 03.08.2015, 14:07

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

@Kollaidermen · 03.08.2015, 14:18 **[ТС]**

AdwCleaner[S0].txt

@Sandor · 03.08.2015, 14:23

Теперь порядок.

Рекомендации после удаления вредоносного ПО

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	03.08.2015, 09:03 [ТС]	11
	Fixlog.txt 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.08.2015, 09:47	12
	Что с проблемой? 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	03.08.2015, 14:18 [ТС]	19
	AdwCleaner[S0].txt 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
		1
	Кладезь зловредов 31.07.2015, 18:05. Показов 583. Ответов 19 Метки нет (Все метки) Здравствуйте (ещё раз)! Знакомый воспитанник Духовной семинарии принёс Samsung R428. Жалобы на , глюки, странное поведение, зависания. При беглом обзоре обнаруживаю, что для защиты использовались только молитвы. Хорошо хоть, что для изгнания компьютерной нечисти не окропляли святой водой! В общем, при сканировании Dr. Web Cureit нашлось 17 гадов, три из которых Доктор порешить не смог. Я установил и прогнал через Auslogic boost speed, удалил несколько программ через uninstal tool. Полагаюсь в дальнейшем на ваш опыт! Хотелось бы избавиться от напасти и защититься в будущем. Тщательно выполню все советы и рекомендации. Аминь! CollectionLog-2015.07.31-17.44.zip 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	01.08.2015, 00:17 [ТС]	3
	При попытке отправить файл quarantine.zip при помощи формы сверху: CollectionLog-2015.08.01-00.13.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	01.08.2015, 09:53	4
	В архиве не хватает логов AVZ 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	01.08.2015, 20:34 [ТС]	5
	virusinfo_syscure.zip virusinfo_syscheck.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	01.08.2015, 20:39	6
	Запустите Autologger и сделайте все, как положено по правилам Отправьте c:\quarantine.zip при помощи этой формы 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	01.08.2015, 21:25 [ТС]	7
	CollectionLog-2015.08.01-21.24.zip 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	02.08.2015, 10:07	8
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	02.08.2015, 21:08 [ТС]	9
	FRST.7z Addition.txt 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	03.08.2015, 10:05 [ТС]	13
	Похоже, кирдык проблеме! Благодарность,респект и уважуха! Пацаны ващще ребята! 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.08.2015, 10:26	14
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	03.08.2015, 14:07	18
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. 0

	03.08.2015, 14:23

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	03.08.2015, 10:41 [ТС]	15
	SecurityCheck.txt 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.08.2015, 10:58	16
	Сделайте лог AdwCleaner 0

@Kollaidermen 0 / 0 / 0 Регистрация: 04.05.2015 Сообщений: 50
	03.08.2015, 13:43 [ТС]	17
	AdwCleaner[R0].txt 0