СергейА 0 Опубликовано 22 июня, 2019 Share Опубликовано 22 июня, 2019 Касперский Интернет Секьюрити не может удалить Trojan.Win32.SEPEH.gen Лечение перезагрузкой не помогает. CollectionLog-2019.06.22-22.18.zip Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 июня, 2019 Share Опубликовано 22 июня, 2019 Здравствуйте,HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://istart.webssearches.com/?type=hp&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1404404738&from=exp&uid=XuXXXXXXXuXXXXAXXXXXXXfcXXXXXXX_XXXXXXXX&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{59A21E14-8B96-420E-950A-FB37381BBAD5}: [URL] = http://www.mysearchresults.com/search?c=3513&t=07&q={searchTerms} - Search Here R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C631A4E-C31A-4087-84D4-C0C08EA5F625}: [URL] = http://websearch.ask.com/redirect?client=ie&tb=W3I4&o=41648006&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^A9K&apn_dtid=^YYYYYY^YY^RU&apn_uid=31677442-9A37-42B2-A6C2-5F9112F11AFB&apn_sauid=C30D1ABD-33E1-4A67-B799-7449C822F480 - Ask Search O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file) O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file) O22 - Task: DTChk - C:\Users\Public\Util\DTChk.exe (file missing) O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file) O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file) O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file) O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file) O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file) O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file) O22 - Task: {EC43F568-71AD-427E-97D0-FBF58E7D3F45} - C:\WINDOWS\system32\pcalua.exe -a C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=exp AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('ibinldr'); SetServiceStart('ibinldr', 4); QuarantineFile('C:\Users\Public\Util\DTChk.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\ibinldr.sys',''); DeleteSchedulerTask('{EC43F568-71AD-427E-97D0-FBF58E7D3F45}'); DeleteFile('C:\Users\Сергей\AppData\Roaming\webssearches\UninstallManager.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму- Подготовьте лог AdwCleaner и приложите его в теме. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 23 июня, 2019 Автор Share Опубликовано 23 июня, 2019 Всё сделал по вашей инструкции. Лог AdwCleaner нужен или это не обязательно? Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 июня, 2019 Share Опубликовано 23 июня, 2019 Всё сделал по вашей инструкции. Лог AdwCleaner нужен или это не обязательно? Желательно, так как лечение не закончено. %SystemRoot%\System32\drivers\ibinldr.sys - Trojan.Win64.Winsecsrv.h P.S. В карантине обнаружено новое вредоносное ПО, которое в ближайщее время будет добавлена в антивирусные сигнатуры. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 23 июня, 2019 Автор Share Опубликовано 23 июня, 2019 Отправляю лог AdwCleaner Файлы, которые обнаружил AdwCleaner, можно удалить? AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 июня, 2019 Share Опубликовано 23 июня, 2019 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 23 июня, 2019 Автор Share Опубликовано 23 июня, 2019 Отчёт после удаления выслал. Что ещё делать? AdwCleanerC01.txt Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 июня, 2019 Share Опубликовано 23 июня, 2019 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 24 июня, 2019 Автор Share Опубликовано 24 июня, 2019 Что вы будите делать с отчётом Farbar Recovery Scan Tool ? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 24 июня, 2019 Share Опубликовано 24 июня, 2019 Анализировать и на основании анализа дадим вам скрипт лечения. 1 Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 24 июня, 2019 Автор Share Опубликовано 24 июня, 2019 Отправлю после 19-00. Я сейчас за другим компом. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 24 июня, 2019 Автор Share Опубликовано 24 июня, 2019 Отправил два отчёта Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 июня, 2019 Share Опубликовано 24 июня, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4240674445-931442869-4162643105-1000\...\Policies\Explorer: [] GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {17AAFD8A-0D4B-4E53-B6A2-996F635ED281} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {24996FB5-41F2-4BF1-BD2D-78B189A1DB17} - \WPD\SqmUpload_S-1-5-21-4240674445-931442869-4162643105-1000 -> No File <==== ATTENTION Task: {6DB4253F-4E64-418D-8B40-102427FA71B7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {9034E7FF-B999-4AC3-B6E4-2C5A823E302B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {997B6537-902D-4679-8D00-4A921524592A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {A39E05E9-6292-4240-B16C-DE7A3E18E5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {BC003F2B-645F-400F-BD9E-B6B5BF504164} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {C7039046-B9E2-4663-ACDF-BE643D999DA9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {C9FEDB68-B4E8-411C-98F7-35A25A345C43} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {D01E098D-8427-4EC2-9769-1A7C91BDDFB1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {E09D1D83-E440-4AA3-BD55-B415F5A8F4FC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {EF078913-B4CB-42DE-8AAE-701F3DCD826A} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION Task: {F4F7E5FD-0DFA-436B-AA57-464F3B4BAAB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {F9E1C103-D9C1-469E-BB4F-4F94E100F96E} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION Toolbar: HKU\S-1-5-21-4240674445-931442869-4162643105-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FF HKLM\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F363A72DD7B6435783A76E5F612C9006@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\FFExt\light_plugin_firefox\addon.xpi => not found CHR HKLM-x32\...\Chrome\Extension: [echeiocnbggcacegkopjcllmaglbocni] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx File: C:\Program Files (x86)\BCL Technologies\easyConverter SDK 3\Common\becldr.exe Folder: C:\ProgramData\fb File: C:\WINDOWS\system32\AutoUpdate.exe HKU\S-1-5-21-4240674445-931442869-4162643105-1000\Software\Classes\.scr: scrfile => <==== ATTENTION FirewallRules: [{AB65FF1B-7F57-4BE5-9FB4-C99F9EA8B3EF}] => (Allow) %ProgramFiles%\Zune\Zune.exe No File FirewallRules: [{C2BF5BAF-C755-4345-9D0F-B180C11E859E}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{2C3C1484-B092-40B0-B97F-2237E7CEACDE}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{663A8EBD-9EB1-4D99-942A-1CB622DFA4FD}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{D05D367F-3F9B-4652-BDC0-FB57BE55AE46}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{98AEAF5B-BDD4-4C2A-BC1B-018BFBE0CE0B}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{03210738-5B21-4EA2-8E47-13CAB91A816D}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{2DB4FF48-C4F2-4427-A149-1DBBB9F5C339}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File FirewallRules: [{524C07C1-C471-47D2-9B12-6226FB2B6E50}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
СергейА 0 Опубликовано 25 июня, 2019 Автор Share Опубликовано 25 июня, 2019 Отправил Fixlog При сохранении fixlist.txt забыл выставить юникод, Сохранил в ANCI. Это имеет значение? Надо переделать? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 июня, 2019 Share Опубликовано 25 июня, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: Zip: C:\ProgramData\fb\Help.dll;C:\WINDOWS\system32\AutoUpdate.exe C:\ProgramData\fb File: C:\WINDOWS\system32\AutoUpdate.exe End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения