Вирус sd-steam/zodiac games

Zabast · 18.08.2016, 14:19

Добрый день. При включении компьютера открывается браузер с сайтом sd steam или zodiac games. Отключал в автозагрузке, удалял из реестра вручную - вирус возвращается. Сканировал dr Web, установил Касперский, ничего не находит.
Процессор fx 8320
Видео r9 390
8 озу
win 10, 64 bit
Сделал образ, надеюсь всё правильно.

safety · 18.08.2016, 16:14

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS BOOSTSPEED\DUPLICATEFILEFINDER.EXE
addsgn A7679B1991867FB28291420920E17305CDF1162876C9DF2DED501ADD50B28E7C479EE3BFFA3F43B6AE40F1AFAE75C106825B28077557E5C01EB74C22ACD8DDF8 13 Trojan.Zadved.1 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS BOOSTSPEED\DISKDOCTOR.EXE
addsgn A7679B1991867FB28291420988D77105CD11152A76C9DF2DED1C25DF50B28E7C479EE3BF463C41B6AE40F1AFAE49C500825B28077557E5C01EB74CEEAEDADDF8 13 Trojan.Zadved.1 [DrWeb]

del %sys32%\tasks\laker
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO/

delref HTTP://SD-STEAM.INFO

; OpenAL
exec  C:\Program Files (x86)\OpenAL\openalweax.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Zabast · 18.08.2016, 16:44

Сделал всё, как вы написали, но браузер со страницей "Страница спонсоров" с адресом sd-steam все еще открывается после перезагрузки компьютера. Malwarebytes ничего не обнаружил.

safety · 18.08.2016, 17:13

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

Zabast · 18.08.2016, 17:31

Всё сделал.

safety · 18.08.2016, 17:38

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

HKU\S-1-5-21-772913527-2741404705-4073410343-1001\...\Run: [Laker] => explorer.exe hxxp://sd-steam.info <===== ATTENTION
CHR Extension: (VK Downloader) - C:\Users\Laker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbjdlpaffkkdggnabfdbhbfbncmcckio [2016-08-17]
CHR Extension: (Chrome Media Router) - C:\Users\Laker\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-16]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
Task: {E5B7E169-B6EE-4823-893A-AEC188AA181F} - \Laker -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Zabast · 18.08.2016, 17:45

Готово, сделал всё, как написали.

safety · 18.08.2016, 17:56

закрываем уязвимости в AVZ и наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/

Zabast · 18.08.2016, 17:58

Спасибо за помощь, надеюсь излечился.

18.08.2016, 16:14	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS BOOSTSPEED\DUPLICATEFILEFINDER.EXE addsgn A7679B1991867FB28291420920E17305CDF1162876C9DF2DED501ADD50B28E7C479EE3BFFA3F43B6AE40F1AFAE75C106825B28077557E5C01EB74C22ACD8DDF8 13 Trojan.Zadved.1 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS BOOSTSPEED\DISKDOCTOR.EXE addsgn A7679B1991867FB28291420988D77105CD11152A76C9DF2DED1C25DF50B28E7C479EE3BF463C41B6AE40F1AFAE49C500825B28077557E5C01EB74CEEAEDADDF8 13 Trojan.Zadved.1 [DrWeb] del %sys32%\tasks\laker ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SD-STEAM.INFO/ delref HTTP://SD-STEAM.INFO ; OpenAL exec C:\Program Files (x86)\OpenAL\openalweax.exe" /U deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes

18.08.2016, 17:13	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	далее, 3.сделайте проверку в АдвКлинере http://www.tehnari.ru/f150/t87975/ *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST http://www.tehnari.ru/f150/t245622/

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

18.08.2016, 17:56	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	закрываем уязвимости в AVZ и наблюдаем за проблемой http://www.tehnari.ru/f150/t83677/

18.08.2016, 17:58	#9 (permalink)
Zabast Новичок Регистрация: 18.08.2016 Сообщений: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Спасибо за помощь, надеюсь излечился.