Ганс 0 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 Недавно вирус только запускал сообщения типа "вы тысячный посетитель" и запускал браузер с казино, танками и другими сайтами. Теперь не дает запуститься системе: при загрузке системы черный экран и курсор. Диспетчер задач запускается, им я снимаю два процесса подозрительных и система загружается. Утилитами удалил некоторые трояны, проблема не исчезла. Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает: Формат файла GetSystemInfo_X-ЏЉ_x_2016_06_14_13_05_54.zip в GetSystemInfo_X-РџРљ_x_06_14_2016_13_05_45.zip неверный : application/zip Вот логи других программ: hijackthis.log virusinfo_syscheck.htm virusinfo_syscheck.zip Это я в AVZ в стандартных скриптах выполнил 2,3 и 7 пункт. Что делать со всем этим? virusinfo_syscheck.xml Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 258 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 Что делать со всем этим? Прочитать правила и приложить то, что в них написано. Карантин выкладывать вообще запрещено правилами форума. Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает: Вот это "_X-ЏЉ_x_" из названия удалите. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 14 июня, 2016 Автор Share Опубликовано 14 июня, 2016 Я эту информацию собирал, когда был за зараженным компьютером. Сейчас опубликовал со здорового. Я думал, что тут по старым правилам все. Тогда я когда буду у зараженного компьютера, сделаю по-новому. Те нечитаемые символы удалял, все равно не загружает. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 GSI отчет возможно и не понадобится. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 17 июня, 2016 Автор Share Опубликовано 17 июня, 2016 Т.к. система не загружалась - черный экран с курсором, я начал собирать логи в безопасном режиме, в логе увидел имя файла, который не давал запустить систему, очистил папку temp, система загрузилась в обычном режиме и сборка логов продолжилась. После загрузки системы я обнаружил, что слетели драйвера у сетевой карты и у клавиатуры, я удалил Drweb, сетевая карта заработала, клавиатура не работает все еще. Когда не работала еще сетевая карта, выскакивали сообщения "была запрошена информация с <рекламный сайт>" и предлагалось подключиться к интернету. CollectionLog-2016.06.17-18.37.zip Логи сделал. Как теперь оживить драйвер клавиатуры? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 июня, 2016 Share Опубликовано 18 июня, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: SmartAdverts for Google Chrome™ sunnyday version 1.1 Zip Extractor Packages Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\x\appdata\local\microsoft\extensions', '*', true, '', 0 ,0); QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', ''); QuarantineFile('C:\Users\x\AppData\Local\Temp\3744101', ''); QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', ''); QuarantineFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); DeleteFile('C:\Windows\Tasks\At1.job', '32'); ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true); DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', '32'); DeleteFile('C:\Users\x\AppData\Local\Temp\3744101', '32'); DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', '32'); DeleteFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFileMask('c:\users\x\appdata\local\microsoft\extensions', '*', true); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: AVdowloads - {375D77F1-EA02-4D3B-976C-79CAA527F956} - (no file) O2 - BHO: ContentBlockerBrowserHelperObject - {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} - (no file) O2 - BHO: Safe Money Plugin - {E3D96E85-529D-4269-AC6A-97CF9E2221E3} - (no file) O2 - BHO: VirtualKeyboardBrowserHelperObject - {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8} - (no file) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 19 июня, 2016 Автор Share Опубликовано 19 июня, 2016 Все сделал, клавиатуру оживлял отдельно. CollectionLog-2016.06.19-13.06.zip Из лаборатории пришло такое письмо: KLAN-4471792688 Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.extsetup.log,le,updverПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 июня, 2016 Share Опубликовано 19 июня, 2016 Скачайте AdwCleaner (by TollsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 AdwCleanerC1.txt AdwCleanerS2.txt Два файла почему-то создались. Я потом очистку нажал, чтобы лишнее удалилось. Еще интернет начинает тормозить, сначала нормально грузятся страницы, потом через 10 минут совсем перестают загружаться. После перезагрузки снова нормально грузятся. Это может быть от действий лишних программ? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 И как понять, где вредоносные программы в этих логах? Shortcut.txt Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF NewTab: hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm CHR StartupUrls: ChromeDefaultData -> "hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm" CHR DefaultSearchURL: ChromeDefaultData -> hxxp://d391tbweljugwk.cloudfront.net/chrome.php?q={searchTerms}&ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm CHR DefaultSearchKeyword: ChromeDefaultData -> yessearches CHR Extension: (SL for Google Chrome™) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-17] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi [2016-06-17] AlternateDataStreams: C:\Windows\win.ini:frp34d [226] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Chrome установлен тестовой версии. Сохраните, если нужно, закладки, удалите браузер. Скачайте и установите актуальную версию. Сообщите что с проблемой. Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 23 июня, 2016 Автор Share Опубликовано 23 июня, 2016 Вот лог Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 23 июня, 2016 Share Опубликовано 23 июня, 2016 что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Ганс 0 Опубликовано 24 июня, 2016 Автор Share Опубликовано 24 июня, 2016 Вирусы уже не беспокоят. Благодарю за помощь Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.