Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на вирус. Система работает нестабильно (http://forum.oszone.net/showthread.php?t=311029)

sashakan 01-02-2016 02:51 2601234
Подозрение на вирус. Система работает нестабильно
 
Помогите разобраться, что происходит с компьютером. Система ведет себя очень странно.

Sandor 01-02-2016 09:23 2601273
Здравствуйте!

Дополнительно:
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Самостоятельно ничего не очищайте.

sashakan 02-02-2016 06:38 2601597
Здравствуйте Sandor, и спасибо Вам!

Требуемый отчёт прикрепил:

Файл 133524

Sandor 02-02-2016 09:43 2601617
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sashakan 02-02-2016 16:14 2601763
Спасибо, Sandor!
Все новые отчёты прикрепил:
Файл 133553

Файл 133554

Файл 133555

Файл 133556

Sandor 02-02-2016 16:24 2601769
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Camera Image
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
HKU\S-1-5-21-1775545170-3077091192-1972197146-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQBbAw5HQwBFbV0AAFhcFVQXIhQBWF9GDAVCc1teVgFARQ1BIR9aFQQTSEcFME0FCFwEURNNfWpdBHQeU1BxJUpNDU0CaUBB&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQBbAw5HQwBFbV0AAFhcFVQXIhQBWF9GDAVCc1teVgFARQ1BIR9aFQQTSEcFME0FCFwEURNNfWpdBHQeU1BxJUpNDU0CaUBB&q={searchTerms}
BHO-x32: See More Results Hub -> {4d1e47a2-d7d2-4bb1-8fa8-2055f856c8ea} -> C:\Program Files (x86)\See More Results Hub\Extensions\4d1e47a2-d7d2-4bb1-8fa8-2055f856c8ea.dll => No File
BHO-x32: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File
CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggaI1sPV1tERxhHeFhZTA0QFVcOeQBeVhRBQAZBJg4AUF1JQ1QFIk0FA1oDB0VXfV5bFElXTwhwJVx1DksUc1BQNVVMEnEEQw=="
CHR Extension: (See More Results Hub) - C:\Users\Iryna\AppData\Local\Google\Chrome\User Data\Default\Extensions\edokfgchefpimclkfkjlpbmmhdjdjlam [2015-12-21] [UpdateUrl: hxxp://cdn.seemoreresultshub.com/update] <==== ATTENTION
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\Iryna\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2015-12-19]
CHR Extension: (Extutil) - C:\Users\Iryna\AppData\Local\Temp\D8ADFCCA-EE7E-442C-9999-C4D14FEF360B [2015-12-21]
CHR Extension: (Managera) - C:\Users\Iryna\AppData\Local\Temp\39fdaae5-8e0e-493c-88ec-e05c3be06e42 [2015-12-21]
CHR Extension: (Camera Image) - C:\Users\Iryna\AppData\Local\Camera Image\Component [2015-12-24]
Task: {671C163B-267A-4AE2-84B8-442CCC12F8C7} - System32\Tasks\Camera Image => Rundll32.exe "C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\CameraImage.dll",#1 <==== ATTENTION
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_0news-1751121550
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_1messages-431041656
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_2events-250898981
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_3friends-215113587
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

sashakan 02-02-2016 17:10 2601792
Вложений: 1
Ещё раз спасибо, Sandor!

При попытке удаления нежелательного ПО ничего не происходит, строка с названием остается в списке программ. Но в колонке размер пусто - значение не обозначено.
Также при нажатии мышью на кнопку Пуск выдает сообщение:
Цитата:
Critical Error. Your Start menu isn't working. We'll try to fix it the next time you sign in. (С кнопкой: Sign out now)
и меню не открывается. Хотя меню Пуск доступно через Windows+X.

Прилагаю требуемый лог-файл:

Sandor 02-02-2016 17:18 2601796
Запустите frst64.exe, в поле Search введите
Цитата:
Camera Image
нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

sashakan 03-02-2016 07:19 2601994
Прилагаю новый отчет и логи:
Файл 133589

Файл 133590

Sandor 03-02-2016 09:17 2602020
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{805F7DC0-E8DD-40BA-AF1D-32F22FD3D415}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Camera Image2]
[-HKEY_USERS\S-1-5-21-1775545170-3077091192-1972197146-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F43763B1-C0EC-BA8F-8484-ADF7361D5084}]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys','');
 QuarantineFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '');
 QuarantineFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '');
 DeleteFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','32');
 DeleteFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '32');
 DeleteFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Cokdebk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Fomvue" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Camera Image2" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  8. Подробную инструкцию читайте в руководстве.

sashakan 03-02-2016 17:40 2602248
Спасибо Sandor!
Отправил quarantine.zip c помощью формы и прикрепляю новый лог FRST.

Сканирование с помощью GMER провести не получается.
При запуске GMER появляется сообщение:
Цитата:
C:\WINDOWS\system32\config\system: The process cannot access the file because it is being used by another process
После нажатия ОК быстрое сканирование проходит.
Потом выбираю диск С: и через некоторое время система уходит в перезагрузку, выдавая сообщение:
Цитата:
attempted_write_to_readonly_memory win32k.sys

Sandor 03-02-2016 17:55 2602253
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

sashakan 04-02-2016 08:13 2602412
Прикладываю новые логи:

Sandor 04-02-2016 09:19 2602424
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('bsdriver');
 QuarantineFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\bsdriver.sys','32');
 DeleteFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Camera Image2" /F', 0, 15000, true);
 DeleteService('bsdriver');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstopp.me/wpad.dat?7114376c9cb2acef6d5331147ddeea522804222
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Ярлыки
Цитата:
C:\Users\Iryna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk
C:\Users\Iryna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk
C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk
исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

sashakan 06-02-2016 08:57 2603040
Вложений: 2
Спасибо, Sandor!
Прикрепляю новые логи:

Sandor 06-02-2016 16:33 2603098
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

sashakan 06-02-2016 18:00 2603122
Вложений: 1
Прикрепляю лог UVS:

Sandor 07-02-2016 12:16 2603295
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v385c
    SREG

    delall %SystemDrive%\USERS\IRYNA\APPDATA\LOCAL\CAMERA IMAGE\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\SQQZERW.DLL
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43D5AF29BD8003A6C3573E559D492B80849FC2A149FA1D8FE872956AB02C2D77A42FC7062273 64 NetTool.Win64.NetFilter.o [Kaspersky]

    zoo %Sys32%\DRIVERS\BSDRIVER.SYS
    bl A8C62A80F4CC3CC6972B77AB7605087A 34712
    chklst
    delvir

    czoo
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

sashakan 11-02-2016 17:09 2605004
Здравствуйте Sandor!
Отправил архив на почтовый ящик.

Sandor 11-02-2016 17:34 2605024
Изменения есть?

sashakan 22-02-2016 17:26 2608964
Спасибо Sandor! Вроде как всё в порядке на данный момент.

Sandor 22-02-2016 17:50 2608974
Хорошо.
В завершение:
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.



Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.


Время: 22:02.

Время: 22:02.
© OSzone.net 2001-