Лилия 0 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Доброго времени суток, прошу помощи.На ноуте появились трояны и куча всякой другой дряни. DrWeb Cureit и Kaspersky Virus Removal Tool удалили в общем более 7000 файлов, но вирус, вижу, продолжает сидеть. CollectionLog-2016.05.25-18.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 (изменено) Здравствуйте! Запуск ComboFix без специального указания и наблюдения мог привести к плачевным результатам. Если сохранился C:\ComboFix.txt - приложите к следующему сообщению. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe'); StopService('MPCKpt'); StopService('MPCProtectService'); QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys',''); QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe',''); QuarantineFile('C:\ProgramData\smp2.exe', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', ''); DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32'); DeleteFile('C:\ProgramData\smp2.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true); DeleteService('MPCKpt'); DeleteService('MPCProtectService'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 26 мая, 2016 пользователем Sandor 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 (изменено) Всё сделала, надеюсь без ошибок. KLAN-4334579589 Hello,[/size] This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. [/size] MPCKpt.sys,[/size] mpcprotectservice.exe,[/size] smp2.exe,[/size] Google Chrome.lnk,[/size] Launch Internet-Explorer Browser.lnk,[/size] Mail.Ru.lnk,[/size] Internet Explorer.lnk,[/size] Internet Explorer (No Add-ons).lnk[/size] A set of unknown files has been received. They will be sent to the Virus Lab.[/size] Извините, двойные прикрепились ComboFix.txt ClearLNK-26.05.2016_09-07.log ClearLNK-26.05.2016_09-07.log ComboFix.txt CollectionLog-2016.05.26-09.54.zip Изменено 26 мая, 2016 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 Деинсталлируйте ComboFix: Скачайте OTCleanIt, запустите, нажмите Clean up. Затем: Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 сделала AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 сделала FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txtЭто тоже покажите. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe HKU\S-1-5-21-3835073586-2559468877-1791340666-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF NewTab: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm FF Homepage: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm FF Extension: GsearchFinder - C:\Users\GYPNORY\AppData\Roaming\Profiles\2moqr9as.default\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-05-23] CHR StartupUrls: ChromeDefaultData -> R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-25] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-25] (DotC United Inc) 2016-05-26 10:33 - 2016-05-26 10:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC 2016-05-25 11:50 - 2016-05-25 11:50 - 00000000 ____D C:\Program Files\Common Files\Noobzo 2016-05-25 11:48 - 2016-05-25 16:45 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner 2016-05-25 11:48 - 2016-05-25 11:48 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys 2016-05-24 23:55 - 2016-05-24 23:55 - 00060136 _____ C:\Windows\system32\Drivers\MPCKpt.sys.delete_on_reboot.1759d3 Task: {89F009F3-7297-4D83-98B2-6C9238B85C15} - \TebeInteresno -> No File <==== ATTENTION Task: {D03B7B83-C5B1-4703-8859-6BD910B31C6E} - \rde3028 -> No File <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 извините, досылаю сделано AdwCleanerC1.txt AdwCleanerC1.txt Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 сделано GYPNORY-ПК_2016-05-26_11-25-02.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 Следующую операцию выполните в безопасном режиме. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY64.EXE bl 5ACE81B129C60E4EA76B09AF3310FA30 105952 addsgn BA6F9BB2BD6D48720B9C2D754C219CF9DA75303AC173535C8D8B4450D8D6714C6B9ACEFE25559DB63E838F9F465AC2E7E9C3E8721953EC08753297EF8F8B7657 8 MPC zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE bl 65BB43F2E4A2636D120FFCA9E1908906 167392 addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/ delref %SystemDrive%\USERS\GYPNORY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU chklst delvir deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Из обычного режима повторите контрольный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 отослала архив ZOO_2016............сделала лог uvs GYPNORY-ПК_2016-05-26_14-19-34.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 В логах порядок. Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Лилия 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 всё хорошо! Спасибо Вам огромное!!! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.