Sam King 0 Опубликовано 15 апреля, 2017 Share Опубликовано 15 апреля, 2017 Добрый день Помогите пожалуйста. Chrome открывает левые сайты и мешает жизни праведной. Вот логи CollectionLog-2017.04.15-14.31.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 апреля, 2017 Share Опубликовано 15 апреля, 2017 Здравствуйте! 1) HitmanPro 3.7 [20150914]-->"C:\Program Files\HitmanPro\HitmanPro.exe" /uninstall McAfee Security Scan Plus [2017/04/06 08:50:19]-->"C:\Program Files\McAfee Security Scan\uninstall.exe" деинсталируйте. 2) Вижу, что вы используете RePack by D!akov очень часто репаки данного автора и являются причиной заражения. 3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe', ''); QuarantineFileF('C:\Program Files (x86)\Tencent\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe', ''); QuarantineFile('C:\Users\KingSam\Favorites\Links\Интернет.url', ''); DeleteFile('C:\Users\KingSam\Favorites\Links\Интернет.url'); DeleteFile('C:\WINDOWS\system32\Tasks\{33B11522-1AE8-4C54-ACFC-475891418EC2}', '64'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\Uninst.exe', '32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true); DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true); DeleteDirectory('C:\Program Files (x86)\Tencent\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'wsjmavjjqp'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', ' QQPCTray'); ExecuteSysClean; BC_Activate; end. После выполнения скрипта компьютер перезагрузится.4) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 5) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. 6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. 7) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 17 апреля, 2017 Автор Share Опубликовано 17 апреля, 2017 Добрый день. При выполнении скрипта AVZ дает ошибку. Прикрепил скриншот. AVZ_error.docx Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2017 Share Опубликовано 17 апреля, 2017 В скрипте ошибок нет. Копируйте аккуратно. Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 18 апреля, 2017 Автор Share Опубликовано 18 апреля, 2017 Добрый день AVZ запустил скрипт только после того, как я передвинул все команды на одну позицию влево, а так ругался на ошибку синтаксиса. В папке AVZ файла quarantine.zip не было, поэтому отправляю лог работы протокола AdwCleanerC3.txt avz_log.txt ClearLNK-17.04.2017_11-08.log CollectionLog-2017.04.18-11.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 апреля, 2017 Share Опубликовано 18 апреля, 2017 В папке AVZ файла quarantine.zip не было - выполните такой скрипт в AVZbegin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. после этого проверьте ещё раз. + 1) "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lonsale.ru/?utm_source=startpage03wmt&utm_content=c8072ebb3057f29d2fff0957d5bcc941&utm_term=F059D6C537B3607192F4CB8DE4D23ED0&utm_d=20161103 2) ProxyServer = 172.26.3.9:3128 - сами прописывали? 3) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 18 апреля, 2017 Автор Share Опубликовано 18 апреля, 2017 Добрый день Файла quarantine.zip создался, только он пустой, прилагаю. Утилитка HijackThis отработала. Прокси мой. И лог UVS DESKTOP-44PCM4S_2017-04-18_16-51-00.7z HiJackThis.log quarantine.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 апреля, 2017 Share Опубликовано 18 апреля, 2017 (изменено) 1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0b10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\UNINST.EXE delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.1.16923.222\UNINST.EXE dirzoo %SystemDrive%\PROGRAM FILES\TORTOISE SVN dirzoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH bl D4B7CD699E6458ED83A0A4DB08ED73C5 148992 zoo %SystemDrive%\PROGRAM FILES\TORTOISE SVN\TORTOISESVN.DLL delall %SystemDrive%\PROGRAM FILES\TORTOISE SVN\TORTOISESVN.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL deldir %SystemDrive%\PROGRAM FILES (X86)\TENCENT\ deldir %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH delref %SystemDrive%\TORRENTS\MICROSOFT VISIO PROFESSIONAL 2013 SP1 15.0.4649.1000 REPACK BY D!AKOV\VISIOPRO-2013.15.0.4649.1000X64\VISIOPRO-2013.15.0.4649.1000.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. + сделайте свежий образ автозапуска. Изменено 20 апреля, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 19 апреля, 2017 Автор Share Опубликовано 19 апреля, 2017 Отправил архив от uVS . Вот свежий образ автозапуска DESKTOP-44PCM4S_2017-04-19_11-11-57.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Отправил архив от uVS Не пришло письмо, закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, , File.Karelia) ссылку на скачивание пришлите мне в ЛС. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0b11 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- zoo %SystemDrive%\USERS\KINGSAM\APPDATA\LOCAL\WUPDATE\WUPDATE.EXE delall %SystemDrive%\USERS\KINGSAM\APPDATA\LOCAL\WUPDATE\WUPDATE.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\MYH7XTKJDCN7.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\MYH7XTKJDCN7.DLL delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER\\MPCMDRUN.EXE delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\308053~1.4\MCCOREPS.DLL delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6798.0207 delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6798.0207\AMD64 apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 19 апреля, 2017 Автор Share Опубликовано 19 апреля, 2017 (изменено) Отправил архив на quarantine@safezone.cc . И сюда прикрепляю Изменено 19 апреля, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 апреля, 2017 Share Опубликовано 19 апреля, 2017 Отправил архив на quarantine@safezone.ccЯ разве на эту почту просил отправить? Будьте внимательней. Прикрепленные файлыА к сообщению карантин прикреплять вообще запрещено что с проблемой?не ответили. Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 20 апреля, 2017 Автор Share Опубликовано 20 апреля, 2017 Chrome перестал открывать ненужные сайты. Вроде проблема решена. А на ту почту я оправил потому,что по форме не получалось отправить. И там был этот адрес на случай если по форме не удастся отправить. Вот такие дела. Пребольшое спасибо за доставленное неудобство. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 апреля, 2017 Share Опубликовано 20 апреля, 2017 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Sam King 0 Опубликовано 20 апреля, 2017 Автор Share Опубликовано 20 апреля, 2017 Скрипт выполнил, все подчистил, большое мерси. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.