[Vadikan]

Делайте логи http://forum.oszone.net/thread-98169.html

[tolk2000]

Вот

[Sandor]

Здравствуйте!

"Пофиксите" в HijackThis:

Код:

O4 - HKCU\..\Run: [иар] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - MSConfig\startupreg: иар [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/11/03)
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\WindowsPowerShell\v1.0
O22 - Task: {01D3C81B-049C-4169-8B21-A79641B7BF90} - E:\SETUP.EXE (file missing)
O22 - Task: {0336A2E4-8E00-45AC-ACE5-46D0F7912E85} - E:\OCEANS.EXE (file missing)
O22 - Task: {10CC4E01-30BF-416E-A8DA-9C876E1A67C7} - E:\OCEANS.EXE (file missing)
O22 - Task: {6B542FB9-9254-4D5B-9A13-5CD132511809} - E:\OCEANS.EXE (file missing)
O22 - Task: {7AABA9FC-CC64-4072-9789-8AA982A362FB} - E:\OCEANS.EXE (file missing)
O22 - Task: {89A01A32-8607-4C20-B29F-E3DCD79B5F59} - E:\OCEANS.EXE (file missing)
O22 - Task: {913DB091-E939-4CF4-8C16-B51D56F99F45} - E:\INST_32\SETUP_32.EXE (file missing)
O22 - Task: {A09B331A-D24A-4540-908F-526A7E619DBB} - E:\SETUP.EXE (file missing)
O22 - Task: {CDBD8D14-C97C-4471-B8F1-F0455B1E7E73} - E:\OCEANS.EXE (file missing)
O22 - Task: иар - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v иар /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

Ярлыки

Цитата:

C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '');
 QuarantineFileF('c:\users\иар\appdata\roaming\wnr\ctfhost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('CTF Host');
 DeleteSchedulerTask('иар');
 DeleteFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '64');
 DeleteFileMask('c:\users\иар\appdata\roaming\wnr\ctfhost', '*', true);
 DeleteDirectory('c:\users\иар\appdata\roaming\wnr\ctfhost');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

[tolk2000]

Имя карантина - 2018.12.03_quarantine_439ec9e2e61d959bf1c5ad010c3545cd.7z

[tolk2000]

Лог

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[tolk2000]

лог

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[tolk2000]

Логи