Подозрительное поведение компьютера

@clariwm · Регистрация: 01.05.2016

Author24 — интернет-сервис помощи студентам

Возможно, проблемы просто с системой или железом.
Но, логи смог собрать только в безопасном режиме.
Не сохранялся в настройках основной шлюз, пришлось его прописать в реестре.

@Sandor · 07.08.2019, 09:21

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя clariwm. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\LOL\AppData\Local\meegiut.dll', '');
 QuarantineFile('C:\Users\LOL\AppData\Roaming\x86_microsoft-windows-ie-f12tools.resources_31bf3856ad364e35_11.2.9600.16428_ru-ru_7a02756a62a6d533\eqossnap.exe', '');
 DeleteSchedulerTask('ASUS\TurboVHelp');
 DeleteSchedulerTask('AVGPCTuneUp_Task_BkGndMaintenance');
 DeleteSchedulerTask('GoogleUpdateService');
 DeleteSchedulerTask('Microsoft\Windows\{XQW6B4N-SZ24-SWSW-BBZD-E9ELV5MLZ5O}');
 DeleteFile('C:\Users\LOL\AppData\Local\meegiut.dll', '32');
 DeleteFile('C:\Users\LOL\AppData\Local\meegiut.dll', '64');
 DeleteFile('C:\Users\LOL\AppData\Roaming\x86_microsoft-windows-ie-f12tools.resources_31bf3856ad364e35_11.2.9600.16428_ru-ru_7a02756a62a6d533\eqossnap.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'meegiut', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'meegiut', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@clariwm · 07.08.2019, 13:46 **[ТС]**

Карантин пустой, не отправил.

@Sandor · 07.08.2019, 13:53

Подготовьте и прикрепите лог сканирования AdwCleaner.

@clariwm · 07.08.2019, 14:00 **[ТС]**

Сделал

@Sandor · 07.08.2019, 14:03

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

@clariwm · 07.08.2019, 14:20 **[ТС]**

Сделал

@Sandor · 07.08.2019, 14:52

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {83DB2F7E-0A9A-4868-B775-8E7B95FC674E} - \GoogleUpdateService -> No File <==== ATTENTION
Task: {8E94B96E-6169-4CED-BDA7-932D89EFA4B3} - \Microsoft\Windows\{XQW6B4N-SZ24-SWSW-BBZD-E9ELV5MLZ5O} -> No File <==== ATTENTION
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\LOL\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-25] [Legacy]
FF Extension: (Поиск@Mail.Ru) - C:\Users\LOL\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-25] [Legacy]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\LOL\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-06-25] [Legacy]
C:\Users\LOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\djgdgdcfmdkficbifbnaacknblbkhhoc
C:\Users\LOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg
C:\Users\LOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\LOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
C:\Users\LOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
CHR HKU\S-1-5-21-611589395-532467114-286929046-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [djgdgdcfmdkficbifbnaacknblbkhhoc] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-611589395-532467114-286929046-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
MSCONFIG\startupreg: go => C:\Users\LOL\AppData\Local\Go!\Application\go.exe --no-startup-window
FirewallRules: [{36641C8A-BE69-4DA1-BFA0-B1ACDE590AF7}] => (Allow) C:\Program Files (x86)\AVG\Av\avgnsa.exe No File
FirewallRules: [{BA486A94-045C-4413-8862-DC0782FC3CCA}] => (Allow) C:\Program Files (x86)\AVG\Av\avgnsa.exe No File
FirewallRules: [{485C06AF-2E10-45B3-A64D-BDA7E4711AA4}] => (Allow) C:\Program Files (x86)\AVG\Av\avgdiagex.exe No File
FirewallRules: [{B0310CD7-012D-4034-BFC7-6EC79704ACEB}] => (Allow) C:\Program Files (x86)\AVG\Av\avgdiagex.exe No File
FirewallRules: [{C5CFA1DF-C638-42C0-BB77-115D78EB671A}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
FirewallRules: [{702B316C-7153-434D-B05D-F97A2974C5EE}] => (Allow) C:\Program Files (x86)\AVG\Av\avgmfapx.exe No File
FirewallRules: [{2D084DAF-D494-4BF3-B474-04E251EC45A4}] => (Allow) C:\Program Files (x86)\AVG\Av\avgemca.exe No File
FirewallRules: [{46F428D7-F76F-4DAF-A7B8-86BE5378F720}] => (Allow) C:\Program Files (x86)\AVG\Av\avgemca.exe No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@clariwm · 07.08.2019, 14:58 **[ТС]**

Сделал

@Sandor · 07.08.2019, 15:05

Изменения к лучшему есть?

@clariwm · 07.08.2019, 15:06 **[ТС]**

Да.

@Sandor · 07.08.2019, 15:09

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@clariwm · 07.08.2019, 15:21 **[ТС]**

Сделал

@Sandor · 07.08.2019, 15:23

------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.16521 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления
Microsoft Office Профессиональный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
VLC media player v.2.2.1 Внимание! Скачать обновления
Steam v.1.0.0.0 Внимание! Скачать обновления
Microsoft Office Professional 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
7-Zip 15.14 v.15.14 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45311 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.1) v.10.1.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Читайте Рекомендации после удаления вредоносного ПО

@clariwm · 07.08.2019, 15:26 **[ТС]**

Все что удастся, постараюсь обновить.

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 09:21	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя clariwm. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\LOL\AppData\Local\meegiut.dll', ''); QuarantineFile('C:\Users\LOL\AppData\Roaming\x86_microsoft-windows-ie-f12tools.resources_31bf3856ad364e35_11.2.9600.16428_ru-ru_7a02756a62a6d533\eqossnap.exe', ''); DeleteSchedulerTask('ASUS\TurboVHelp'); DeleteSchedulerTask('AVGPCTuneUp_Task_BkGndMaintenance'); DeleteSchedulerTask('GoogleUpdateService'); DeleteSchedulerTask('Microsoft\Windows\{XQW6B4N-SZ24-SWSW-BBZD-E9ELV5MLZ5O}'); DeleteFile('C:\Users\LOL\AppData\Local\meegiut.dll', '32'); DeleteFile('C:\Users\LOL\AppData\Local\meegiut.dll', '64'); DeleteFile('C:\Users\LOL\AppData\Roaming\x86_microsoft-windows-ie-f12tools.resources_31bf3856ad364e35_11.2.9600.16428_ru-ru_7a02756a62a6d533\eqossnap.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'meegiut', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'meegiut', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z* из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 13:53	4
	Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 14:03	6
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 15:05	10
	Изменения к лучшему есть? 1

@clariwm 6 / 6 / 0 Регистрация: 01.05.2016 Сообщений: 169
	07.08.2019, 15:06 [ТС]	11
	Да. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 15:09	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.08.2019, 15:23	14
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 10.0.9200.16521 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Учетная запись гостя включена. Пароль не установлен. --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления Microsoft Office Профессиональный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice VLC media player v.2.2.1 Внимание! Скачать обновления Steam v.1.0.0.0 Внимание! Скачать обновления Microsoft Office Professional 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice -------------------------------- [ Arch ] --------------------------------- 7-Zip 15.14 v.15.14 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45311 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader X (10.1.1) v.10.1.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Читайте Рекомендации после удаления вредоносного ПО 1

@clariwm 6 / 6 / 0 Регистрация: 01.05.2016 Сообщений: 169
	07.08.2019, 15:26 [ТС]	15
	Все что удастся, постараюсь обновить. 1