Постоянные атаки из непонятных ссылок

vasya163 · 20.09.2016, 00:01

Здравствуйте.
Недавно скачал какой-то файл, который начал устанавливать мне всякие "фичи" от мэйла. Я вроде бы все почистил, но одна беда осталась - NOD все время ругается, что кто-то пытается атаковать систему (какие-то непонятные адреса).
Плюс к этому, я не могу зайти в многие папки, даже в Application data, пишет, что отказано в доступе.
Помогите, пожалуйста, это исправить!

safety · 20.09.2016, 05:49

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]

deldirex %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

vasya163 · 20.09.2016, 23:35

Атаки продолжаются, MBAM ничего не нашел.
Как я уже отмечал, у меня нет доступа ко многим папкам, поэтому скрипт мог не выполниться так, как надо. В связи с этим прикрепляю еще один лог uvs.

safety · 21.09.2016, 06:28

скрипт надо выполнить с правами администратора. второй образ не нужен пока.

далее,

далее,
3.сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
Как создать логи FRST

vasya163 · 21.09.2016, 23:51

Так в том то и дело, что программу запускаю с правами администратора, да и сам я являюсь администратором, но при заходе почти во все папки возникает ошибка доступа (см. скрин), поэтому uvs тоже не смогла получить туда доступ, чтобы удалить файл.
Атаки продолжаются, выкладываю еще и свежий скрин этих атак.
Все логи также прилагаю.

safety · 22.09.2016, 03:31

возможно некорректная была переустановка антивирусов.

Цитата:

AV: ESET NOD32 Antivirus 9.0.349.14 (Enabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: ESET NOD32 Antivirus 9.0.381.1 (Enabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834}

лучше из безопасного режима зачистить все антивирусы и заново установить актуальную версию.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

GroupPolicyScripts: Restriction <======= ATTENTION
Task: {494F2933-236E-49EB-A3DA-0BF91F1ABB4E} - \{1BE6D6DA-88C4-4102-BDD4-05E69D70C81A} -> No File <==== ATTENTION
Task: {8DBA9864-B577-4970-82E2-822422621B8E} - System32\Tasks\syslog => C:\Users\nikitapikalov\AppData\Local\syslog\syslog.exe [2016-09-15] () <==== ATTENTION
EmptyTemp:
Reboot:

vasya163 · 22.09.2016, 23:20

Антивирус вроде бы переустановил.
Скрипт выполнил, лог прилагаю.
Атаки продолжаются.. Что делать с отказом в доступе во многие папки?

safety · 23.09.2016, 03:26

атаки идут в любой момент, или во время работы браузеров?

по доступу: пробуйте создать другую учетную запись, с правами администратора и поработать в ней.

vasya163 · 24.09.2016, 13:51

Атаки идут иногда и когда я не в браузере.

safety · 24.09.2016, 14:50

добавьте новый образ автозапуска. еще раз гляну

20.09.2016, 05:49	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID] deldirex %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\NIKITAPIKALOV\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

20.09.2016, 00:01
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Я уверен, что проблему можно решить гораздо быстрее если ознакомиться с ней получше Список непонятных папок и файлов на единственном диске C Три непонятных сигнала

21.09.2016, 06:28	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	скрипт надо выполнить с правами администратора. второй образ не нужен пока. далее, далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST Как создать логи FRST

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

23.09.2016, 03:26	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	атаки идут в любой момент, или во время работы браузеров? по доступу: пробуйте создать другую учетную запись, с правами администратора и поработать в ней.

24.09.2016, 13:51	#9 (permalink)
vasya163 Новичок Регистрация: 19.09.2016 Сообщений: 8 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Атаки идут иногда и когда я не в браузере.

24.09.2016, 14:50	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	добавьте новый образ автозапуска. еще раз гляну