Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] gmaegames.pro в Google Chrome и командная строка cmd.exe и taskeng в начале каждого (http://forum.oszone.net/showthread.php?t=338007)

tolk2000 02-12-2018 16:11 2843723
gmaegames.pro в Google Chrome и командная строка cmd.exe и taskeng в начале каждого
 
В начале каждого запуска стали запускаться командная строка cmd.exe и Google Chrome со страничкой gmaegames.pro (чертовы рекламные баннеры). Я читал, что была аналогичная проблема здесь, но мне лечение по тому способу не помогло. Антивирус может максимум заблокировать страницу, когда включится раньше chrome. И кстати, я пытался отключить в диспетчере автозагрузок включение этого сайта, но это помогло ненадолго

Vadikan 02-12-2018 16:59 2843730
Делайте логи http://forum.oszone.net/thread-98169.html

tolk2000 02-12-2018 19:49 2843778
Вложений: 1
Вот

Sandor 03-12-2018 11:26 2843861
Здравствуйте!

"Пофиксите" в HijackThis:
Код:
O4 - HKCU\..\Run: [иар] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - MSConfig\startupreg: иар [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/11/03)
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\WindowsPowerShell\v1.0
O22 - Task: {01D3C81B-049C-4169-8B21-A79641B7BF90} - E:\SETUP.EXE (file missing)
O22 - Task: {0336A2E4-8E00-45AC-ACE5-46D0F7912E85} - E:\OCEANS.EXE (file missing)
O22 - Task: {10CC4E01-30BF-416E-A8DA-9C876E1A67C7} - E:\OCEANS.EXE (file missing)
O22 - Task: {6B542FB9-9254-4D5B-9A13-5CD132511809} - E:\OCEANS.EXE (file missing)
O22 - Task: {7AABA9FC-CC64-4072-9789-8AA982A362FB} - E:\OCEANS.EXE (file missing)
O22 - Task: {89A01A32-8607-4C20-B29F-E3DCD79B5F59} - E:\OCEANS.EXE (file missing)
O22 - Task: {913DB091-E939-4CF4-8C16-B51D56F99F45} - E:\INST_32\SETUP_32.EXE (file missing)
O22 - Task: {A09B331A-D24A-4540-908F-526A7E619DBB} - E:\SETUP.EXE (file missing)
O22 - Task: {CDBD8D14-C97C-4471-B8F1-F0455B1E7E73} - E:\OCEANS.EXE (file missing)
O22 - Task: иар - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v иар /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Ярлыки
Цитата:
C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk
исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '');
 QuarantineFileF('c:\users\иар\appdata\roaming\wnr\ctfhost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('CTF Host');
 DeleteSchedulerTask('иар');
 DeleteFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '64');
 DeleteFileMask('c:\users\иар\appdata\roaming\wnr\ctfhost', '*', true);
 DeleteDirectory('c:\users\иар\appdata\roaming\wnr\ctfhost');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

tolk2000 03-12-2018 12:40 2843883
Вложений: 1
Имя карантина - 2018.12.03_quarantine_439ec9e2e61d959bf1c5ad010c3545cd.7z

tolk2000 03-12-2018 13:29 2843898
Вложений: 1
Лог

Sandor 03-12-2018 14:10 2843918
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

tolk2000 03-12-2018 14:18 2843921
Вложений: 1
лог

Sandor 03-12-2018 14:20 2843923
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

tolk2000 03-12-2018 16:22 2843941
Вложений: 3
Логи

Sandor 03-12-2018 18:09 2843964
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
AusLogics BoostSpeed 8.0.2.0
Auslogics Disk Defrag Professional
Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF user.js: detected! => C:\Users\иар\AppData\Roaming\Mozilla\Firefox\Profiles\35xjub17.default\user.js [2016-01-12]
    CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
    Task: {BBAB3F8F-ABA7-42A9-BBCD-687B18834D4B} - \hajprrm -> No File <==== ATTENTION
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    AlternateDataStreams: C:\Users\иар\Downloads\An Actual Playable Tortilla Record Etched with a Laser Cutter.mp4:.gltth [13554]
    AlternateDataStreams: C:\Users\иар\Downloads\Aura.zip:.gltth [19170]
    AlternateDataStreams: C:\Users\иар\Downloads\BlueStacks-Installer_BS3_native.exe:.gltth [24306]
    AlternateDataStreams: C:\Users\иар\Downloads\drw_free.exe:.gltth [12546]
    AlternateDataStreams: C:\Users\иар\Downloads\Levi.ppt:.gltth [21426]
    AlternateDataStreams: C:\Users\иар\Downloads\tsetup.1.3.14.exe:.gltth [17058]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

tolk2000 03-12-2018 19:16 2843980
Вложений: 1
Лог

Sandor 04-12-2018 09:57 2844090
Что с проблемой?

tolk2000 04-12-2018 11:46 2844106
Проблема решена, спасибо!

Sandor 04-12-2018 11:48 2844107
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

tolk2000 09-12-2018 12:50 2844999
Вложений: 1
Пардон за задержку, только сейчас открыл страницу

Sandor 10-12-2018 09:24 2845116
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.2.49.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 4.3.20 v.4.3.20 Внимание! Скачать обновления
VLC media player 2.0.5 v.2.0.5 Внимание! Скачать обновления
WinRAR 4.00 (32-разрядная) v.4.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44846 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.6.0.5970 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 61.0.1 (x64 ru) v.61.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.70.0.3538.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 49.0.1 (x86 ru) v.49.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 56.0.3051.116 v.56.0.3051.116 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Essentials v.15.4.3538.0513 Данная программа больше не поддерживается разработчиком.
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
MyWinLocker v.4.0.14.27 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker Suite v.4.0.14.19 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
FATE v.2.2.0.97 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker 4 v.4.0.14.27 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent Games App v.4.1.1.47 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent ShortcutProvider v.4.5.0.160 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.7.3.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!



Рекомендации после лечения.


Время: 05:52.

Время: 05:52.
© OSzone.net 2001-