Подозрение на вредоносное ПО

150700 · 02.01.2019, 22:26

Здравствуйте. Произошла проблема при установке драйверов на видео карту старые дрова удалились а новые не захотели вставать спустя несколько попыток поставить появилась ошибка (приложу скриншот).На этом однако не всё тк спустя какое-то время открылось окно с установкой net 4.7.1 и был указан сайт sereby.org смею предположить что нахватал кучу вирусов.
мат плата: m5a78l-mlx3
процессор: amd phenom II x6 1055t
видео карта: nvidia gtx 560ti
ос: виндовс 7 сп1 64

mike 1 · 02.01.2019, 23:28

Не хватает лога uVS

150700 · 03.01.2019, 00:14

ну если память не изменяет полный образ автозапуска надо было сделать.

mike 1 · 03.01.2019, 17:51

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

delref KERNCAP.VBS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\GG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\GG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

150700 · 03.01.2019, 18:10

приложу оба на всякий

mike 1 · 04.01.2019, 16:03

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: E - E:\setup.exe
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: {19332f69-d114-11e8-bd6c-bcee7b78054f} - G:\autorun.exe
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: {19332f6d-d114-11e8-bd6c-bcee7b78054f} - H:\autorun.exe
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: {1e44e005-0b9d-11e6-a966-bcee7b78054f} - E:\autorun.exe
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: {4ae1c5ef-4893-11e4-86db-bcee7b78054f} - D:\setup.exe
HKU\S-1-5-21-1682441007-1287131143-4182855089-1000\...\MountPoints2: {5390177b-94a9-11e8-be46-bcee7b78054f} - D:\HiSuiteDownLoader.exe
virustotal: C:\Windows\AppPatch\Custom\Custom64\{86892f8c-5a44-4dba-ba19-128ece34a051}.sdb
virustotal: C:\Windows\AppPatch\Custom\{fa5bb77b-9484-4e75-1da1-40108fd2cfb9}.sdb
Tcpip\..\Interfaces\{20F2A25C-0E2F-40EC-9390-96DCFFDB51E3}: [DhcpNameServer] 7.254.254.254
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1682441007-1287131143-4182855089-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
C:\Users\gg\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne
Task: {2AFAB736-29F6-4834-A9F8-EBE25FB88A17} - \{38ACA937-C52C-4731-A87C-44AF3E17D542} -> No File <==== ATTENTION
Task: {348D4982-4216-4931-8BAD-3C1B62B48813} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {366F3B6E-27A6-4855-9CA1-EAD5096129FF} - \{86872982-7B8D-43A8-806B-908F109122BE} -> No File <==== ATTENTION
Task: {38373E60-C1B1-47E3-8DF9-DFC5B809BD6D} - \{86E113B6-CC9D-420F-BA44-955F90D34EC3} -> No File <==== ATTENTION
Task: {51985BE1-3B70-4CD3-A1AF-25991481C141} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {54612501-DD5C-4C4C-89AE-8A915E17F144} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {615B7F34-2CFC-4EDD-9013-DDD02C758741} - \{E345789C-DD83-48D2-87DE-EA868D1E2A7F} -> No File <==== ATTENTION
Task: {6B5E59BA-0D33-4C03-8008-2F75E9C74C77} - \{0CD0181B-2A7D-42D4-BBBE-30D59A4344BF} -> No File <==== ATTENTION
Task: {72E72AB8-8DD8-434E-9D6B-A19DA9B51516} - \{82BB5FD4-1A04-4AC4-9269-295E907C8EA1} -> No File <==== ATTENTION
Task: {73C71021-35C9-4FF3-A208-28F38048108C} - \{CCE891C9-5549-4EC2-903C-8A268BED8A5B} -> No File <==== ATTENTION
Task: {747D7348-8249-4F50-8692-6DB84F60F01E} - \{C2D06177-88CE-4995-BC6A-B87A6A10FDCB} -> No File <==== ATTENTION
Task: {79B93049-587E-473C-B9B4-6CFAE79604AA} - \{E31A7021-FF54-43EC-89CE-EED2647B752A} -> No File <==== ATTENTION
Task: {79C0FEAC-A64A-4E4C-8FC0-377F54CB1FD2} - \{9279C6B7-3708-4104-B376-114BC638DE33} -> No File <==== ATTENTION
Task: {82D0437B-C123-4E8C-AE51-46D97A85A62D} - \{63222FEB-043D-4ED3-AFAF-466E1099E93A} -> No File <==== ATTENTION
Task: {8E02A63B-4FE2-412B-90F3-777F4F2A045A} - \{1D910F5B-4A5C-46B9-A939-71B470DA0AEE} -> No File <==== ATTENTION
Task: {AE762EA3-FB8C-4B04-ABF6-7AA64A3ECC95} - \{D76C3C20-B688-48DC-81AF-9C3743A34E8D} -> No File <==== ATTENTION
Task: {BCA0004D-A4E0-46A8-B7EE-1CE65C28D197} - \Microsoft\Office\Office 15 Subscription Heartbeat -> No File <==== ATTENTION
Task: {BD7BE909-BD4F-4486-A0CA-A691A47FFDF3} - \{356D8689-C025-4CE3-A30C-B355A79F7C90} -> No File <==== ATTENTION
Task: {C7620B59-B458-419A-8AE4-E5B9AF6FD852} - \{A9C8757F-D08D-45BA-8027-2C7DF2E90E48} -> No File <==== ATTENTION
Task: {D92ADA27-719E-4559-B493-9F4F381893D8} - \{7A5DBFCE-18D2-4224-8A60-4956A7D59F08} -> No File <==== ATTENTION
Task: {E538EAA8-5CFA-450B-827B-44CF117A8941} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {E8F45F1C-7D71-4885-97E0-D4FD6628E80C} - \{8BB97FB7-A85F-41E2-8309-6DAE38D8E3F5} -> No File <==== ATTENTION
Task: {F419D8F4-A66A-4493-B7CB-457AC033CAFC} - \{1C347121-4FCB-493E-BF33-CBF9742BACDB} -> No File <==== ATTENTION
Task: {F6956AB8-3E1C-4039-9788-DC828B7ECAC1} - \{E2C4B303-E30C-4874-ACEF-DD93E70363A4} -> No File <==== ATTENTION
CMD: ipconfig /flushdns

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

150700 · 04.01.2019, 17:07

архив не появился

mike 1 · 05.01.2019, 00:39

Что с проблемой?

150700 · 05.01.2019, 17:03

Цитата:

Сообщение от mike 1

Что с проблемой?

Вроде как проблема была не из-за заражения, а кривого удаления драйверов, однако я благодарен за чистку компьютера от мусора.

mike 1 · 07.01.2019, 13:57

Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите отчет в вашей теме

02.01.2019, 23:28	#2 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Не хватает лога uVS __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

03.01.2019, 17:51	#4 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: Код: ;uVS v4.0.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c breg delref KERNCAP.VBS delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\GG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\GG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

05.01.2019, 00:39	#8 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Что с проблемой? __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

07.01.2019, 13:57	#10 (permalink)
mike 1 Helper Регистрация: 28.10.2013 Адрес: Москва Сообщений: 678 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 5469	Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите отчет в вашей теме __________________ Антивирусная школа по подготовке консультантов https://safezone.cc/training (если хотите самостоятельно лечить компьютеры от вирусов)

02.01.2019, 22:26
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Советую вам прочесть аналогичные темы, наверняка вы найдете там что то важное Вредоносное ПО Вредоносное ПО Подозрение на вредоносное ПО Подозрение на вредоносное ПО

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070