0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
1 | |
Вирус устанавливает на компьютер другие вирусы и прочее вредоносное ПО23.02.2017, 19:02. Показов 1825. Ответов 21
Весьма банальная ситуация: скачал установщик, но вместо программы он установил мне кучу нежелательного софта (Амиго, майловские сервисы, IOBit, что-то ещё....). Удалил. Делал не один раз Полный скан DrWeb'ом, каждый раз находил новые вирусы и лечил их. В итоге часть вирусов вынес полностью, но один (или немного больше одного), остался в системе и довольно хорошо прячется. Примерно каждые 2 дня он ставит мне Firefox, В ProgramFiles появляется MIO, 1 раз он ставил мне aMuleC, 2 раза ставил WinSnare (Из того, что помню). Не раз чистил Temp, лез в процессы, но в процессах зловреда найти не удалось.
FRST.Txt в следующем сообщении.
0
|
23.02.2017, 19:02 | |
Ответы с готовыми решениями:
21
Компьютер устанавливает сам вредоносное ПО Вирус, который устанавливает другие программы Вирус устанавливает программы на компьютер Вирус устанавливает программы на компьютер |
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
23.02.2017, 19:04 [ТС] | 2 |
Frst.txt
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
23.02.2017, 19:07 [ТС] | 3 |
Addition.txt
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
23.02.2017, 20:08 [ТС] | 4 |
UPD: Полез в службы и обнаружил несколько вредоносных служб: WinSnare, FishjaneSU, BirdjobSU, StanduckSU.
Описания в свойствах у них нет, Судя по пути исполнения они вредоносные, т.к. относятся к BaofengUpdate, который как раз запускался каждые 2 дня. Отключил эти службы.
0
|
10582 / 5545 / 864
Регистрация: 07.04.2013
Сообщений: 15,660
|
|
23.02.2017, 21:35 | 5 |
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
23.02.2017, 21:42 [ТС] | 6 |
Мои извинения, я здесь новичок... Через минут 10 будут логи.
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
23.02.2017, 21:50 [ТС] | 7 |
Вот логи:
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 13:44 | 8 |
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.
Cкопируйте в него текст из окна "winbatch" ниже и сохраните. Windows Batch file start CreateRestorePoint: (Don HO [email]don.h@free.fr[/email]) C:\Program Files (x86)\notepad2\notepad2.exe HKU\S-1-5-21-77998015-2868274396-3307579174-1000\...\MountPoints2: {f193c721-dcdc-11e6-87e3-10bf482605f0} - G:\HiSuiteDownLoader.exe HKLM\...\Providers\qs4j0wbq: C:\Program Files (x86)\Coitoy Manager\local64spl.dll ShellExecuteHooks: No Name - {8A2A2C62-EEB8-11E6-9AB6-64006A5CFC23} - -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-77998015-2868274396-3307579174-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=832110 SearchScopes: HKU\S-1-5-21-77998015-2868274396-3307579174-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B9EC0844F-6C49-403A-A99F-BB93E5D5ABDB%7D&gp=832111 SearchScopes: HKU\S-1-5-21-77998015-2868274396-3307579174-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B9EC0844F-6C49-403A-A99F-BB93E5D5ABDB%7D&gp=832111 BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File FF Homepage: Firefox\Firefox\Profiles\u56dfteg.default -> hxxp://www.searchinme.com/?type=hp&ts=1487860773408&z=dbb2e8bb8f9e97c6ce4d77fg5zebfm0q1e1ecm3taz&from=official&uid=SAMSUNGXHM641JI_S26XJ9DB723751 FF Extension: (FF Adr) - C:\Users\Jetfire\AppData\Roaming\Firefox\Firefox\Profiles\u56dfteg.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-23] [not signed] FF SearchPlugin: C:\Users\Jetfire\AppData\Roaming\Firefox\Firefox\Profiles\u56dfteg.default\searchplugins\searchinme.xml [2017-02-20] CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx R2 Ntp2NetSvc; C:\Program Files (x86)\notepad2\notepad2.exe [2340864 2017-02-16] (Don HO [email]don.h@free.fr[/email]) [File not signed] C:\Program Files (x86)\notepad2\ S2 Ntp2UpSvc; C:\Program Files (x86)\Common Files\ntp2UpSvc\notepad2.exe [2340864 2017-02-16] (Don HO [email]don.h@free.fr[/email]) [File not signed] C:\Program Files (x86)\Common Files\ntp2UpSvc\ R2 WinSnare; C:\Users\Jetfire\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-20] (InterSect Alliance Pty Ltd) [File not signed] C:\Users\Jetfire\AppData\Roaming\WinSnare\ S2 BirdjobSU; "C:\Users\Jetfire\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== ATTENTION S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X] S4 FishjaneSU; "C:\Users\Jetfire\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== ATTENTION S4 StanduckSU; "C:\Windows\TEMP\nsi9BA2.tmp\BaofengUpdate_U.exe" /i [X] S2 WinSAPSvc; C:\Users\Jetfire\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] U0 aswVmm; no ImagePath C:\Users\Jetfire\AppData\Roaming\WinSAPSvc\ 2017-02-20 17:17 - 2017-02-20 17:27 - 00000000 ____D C:\Users\Jetfire\AppData\Local\GeoLocator 2017-02-20 17:17 - 2017-02-20 17:26 - 00000000 ____D C:\Users\Jetfire\AppData\Local\Mail.Ru 2017-02-20 17:17 - 2017-02-20 17:17 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\WinSnare 2017-02-14 23:19 - 2017-02-14 23:19 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\ProductData 2017-02-14 23:18 - 2017-02-15 01:30 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\Grjelyckojule 2017-02-14 23:18 - 2017-02-14 23:18 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2017-02-14 23:17 - 2017-02-14 23:18 - 00000000 ____D C:\Users\Все пользователи\ProductData 2017-02-14 23:17 - 2017-02-14 23:18 - 00000000 ____D C:\ProgramData\ProductData 2017-02-14 23:17 - 2017-02-14 23:17 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2017-02-14 23:17 - 2017-02-14 23:17 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2017-02-14 23:16 - 2017-02-14 23:16 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\SPI Task: {49ABA9C5-092E-4893-ADB6-2FD9781D5A42} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\\ProgramData\\vCore\\VCore.exe <==== ATTENTION Task: {57154FC5-70F8-445D-BEAE-B0CBEA9CF858} - \urlopener -> No File <==== ATTENTION Task: {D2324F19-C861-42D5-B37B-CF7566078391} - \BikaQ_FetchAndUpgrade_CanBeDel -> No File <==== ATTENTION Task: {E5B09AB5-53F1-473F-A9F9-FF079562C5C5} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe MSCONFIG\Services: FishjaneSU => 2 MSCONFIG\Services: StanduckSU => 2 CMD: ipconfig /flushdns CMD: IPCONFIG /release CMD: IPCONFIG /renew CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers CMD: RD /S /Q %WinDir%\System32\GroupPolicy CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy CMD: gpupdate /force CMD: bitsadmin /reset /allusers EmptyTemp: Reboot: end Компьютер будет перезагружен автоматически
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 17:52 [ТС] | 9 |
Всё готово, посмотрим как комп себя поведёт. Заранее благодарю =)
Фикс-Лог:
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 18:22 | 10 |
А еще не все))
Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html Затем подготовьте лог AdwCleaner: https://www.cyberforum.ru/post6500078.html
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 18:28 [ТС] | 11 |
Окей, no problem. Через минут 10-20 будут логи.
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 18:34 [ТС] | 12 |
Логи готовы.
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 18:41 | 13 |
Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500078.html
Лог после удаления прикрепите. Удалите старые логи FRST и подготовьте новые: https://www.cyberforum.ru/post7151340.html
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 18:58 [ТС] | 14 |
AdwCleaner'ом удалил найденное.
Логи FRST:
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 18:59 [ТС] | 15 |
Лог после удаления AdwCleaner'ом:
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 19:03 | 16 |
Что с проблемами?
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 19:09 [ТС] | 17 |
Ну, проблемы вроде как устранил, логи выложил выше /\
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 19:12 | 18 |
Напоследок, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838
+ Скачайте Delfix по этой ссылке Установите галочки напротив следующих пунктов:
0
|
0 / 0 / 0
Регистрация: 23.02.2017
Сообщений: 14
|
|
24.02.2017, 19:44 [ТС] | 19 |
SecurityCheck:
0
|
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
|
|
24.02.2017, 19:45 | 20 |
Исправляйте, обновляйте:
Internet Explorer 11.0.9600.18204 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления И читайте: Рекомендации после удаления вредоносного ПО
0
|
24.02.2017, 19:45 | |
24.02.2017, 19:45 | |
Помогаю со студенческими работами здесь
20
Вирус самостоятельно устанавливает программы на компьютер MAIL и прочее вредоносное ПО ВРЕДОНОСНОЕ ПО, АМИГО, ИГРЫ И ПРОЧЕЕ Вирус сам устанавливает и запускает браузеры, устанавливает программы Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |