Ещё одна тема про sd-steam

Pavel1596 · 25.08.2016, 11:17

Добрый день, пробовал удалить самостоятельно, удалял из реестра, из автозагрузки, удалял с помощью Grindin Anti-Malware, результат один - перезагрузка и всё восстанавливается... читал такие же темы на вашем сайте, и я так понял, что скрипт для каждого разный и без создания новой темы не обойтись...
образ автозагрузки прилогаю
ORIGAMI012_2016-08-25_10-09-21.rar

safety · 25.08.2016, 12:02

образ я посмотрю, напишите, каким образом вы получили заражение этой страницей?

Pavel1596 · 25.08.2016, 12:08

я сам и не знаю... возможно при установке movavi video converter, до этого с таким не сталкивался...

safety · 25.08.2016, 12:08

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
добавьте новый образ автозапуска
Как создать образ автозапуска в uVS. Краткая инструкция
и
сделайте проверку в FRST
Как создать логи FRST

Pavel1596 · 25.08.2016, 12:31

перезагрузился, ничего не вылезло, автозагрузка чиста
ORIGAMI012_2016-08-25_11-16-50.rar
Addition.txt
FRST.txt

safety · 25.08.2016, 12:43

да, в образе пока все чисто, но проблема может вернуться после нескольких перезагрузок,
поэтому:

1. сделайте из regedit импорт этих ключей из реестра в отдельные файлы:

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{38E62C4 F-F12E-4A61-82E9-194934BFFB3F}

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38E62C 4F-F12E-4A61-82E9-194934BFFB3F}

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Origami0 12

2
далее,
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
Task: {38E62C4F-F12E-4A61-82E9-194934BFFB3F} - \Origami012 -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Pavel1596 · 25.08.2016, 12:44

сейчас нашёл его в реестре
HKEY_USERS\S-1-5-21-2796159674-487656957-3052101905-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

safety · 25.08.2016, 12:49

здесь и ниже надо будет убрать пробелы,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{38E62C4 F-F12E-4A61-82E9-194934BFFB3F}

Pavel1596 · 25.08.2016, 12:50

выполнил
Fixlog.txt

safety · 25.08.2016, 12:55

это сделали перед выполнением скрипта в FRST?

Цитата:

1. сделайте из regedit импорт этих ключей из реестра в отдельные файлы:
.....

если да, то добавьте эти файлы на форум в ваше сообщение.

25.08.2016, 11:17	#1 (permalink)
Pavel1596 Новичок Регистрация: 25.08.2016 Сообщений: 9 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Ещё одна тема про sd-steam Добрый день, пробовал удалить самостоятельно, удалял из реестра, из автозагрузки, удалял с помощью Grindin Anti-Malware, результат один - перезагрузка и всё восстанавливается... читал такие же темы на вашем сайте, и я так понял, что скрипт для каждого разный и без создания новой темы не обойтись... образ автозагрузки прилогаю ORIGAMI012_2016-08-25_10-09-21.rar

25.08.2016, 12:08	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SD-STEAM.INFO deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, добавьте новый образ автозапуска Как создать образ автозапуска в uVS. Краткая инструкция и сделайте проверку в FRST Как создать логи FRST

25.08.2016, 12:02	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	образ я посмотрю, напишите, каким образом вы получили заражение этой страницей?

25.08.2016, 12:08	#3 (permalink)
Pavel1596 Новичок Регистрация: 25.08.2016 Сообщений: 9 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	я сам и не знаю... возможно при установке movavi video converter, до этого с таким не сталкивался...

25.08.2016, 12:31	#5 (permalink)
Pavel1596 Новичок Регистрация: 25.08.2016 Сообщений: 9 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	перезагрузился, ничего не вылезло, автозагрузка чиста ORIGAMI012_2016-08-25_11-16-50.rar Addition.txt FRST.txt

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

25.08.2016, 12:44	#7 (permalink)
Pavel1596 Новичок Регистрация: 25.08.2016 Сообщений: 9 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	сейчас нашёл его в реестре HKEY_USERS\S-1-5-21-2796159674-487656957-3052101905-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

25.08.2016, 12:49	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	здесь и ниже надо будет убрать пробелы, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{38E62C4 F-F12E-4A61-82E9-194934BFFB3F}

25.08.2016, 12:50	#9 (permalink)
Pavel1596 Новичок Регистрация: 25.08.2016 Сообщений: 9 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	выполнил Fixlog.txt