drtug 0 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 (изменено) На компьютере стоит Kaspersky Free. После диагностики выявляет вирус, рекомендует лечить с перезагрузкой. После перезагрузки появляется снова. Прилагаю логи от AutoLogger CollectionLog-2018.11.16-22.52.zip Изменено 16 ноября, 2018 пользователем drtug Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 ноября, 2018 Share Опубликовано 16 ноября, 2018 Здравствуйте, Знакома ли Вам,делали какие-то изменения сами? O4 - HKLM\..\Session Manager: [BootExecute] = (no file) O7 - TroubleShooting: (EV) HKLM\..\Environment: [TEMP] = %USERPROFILE%\AppData\Local\Temp (wrong type of parameter) O7 - TroubleShooting: (EV) HKLM\..\Environment: [TMP] = %USERPROFILE%\AppData\Local\Temp (wrong type of parameter) HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O2 - HKLM\..\BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - (no file) O2-32 - HKLM\..\BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file) O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file) O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\System32\themctrl.dll',''); QuarantineFile('C:\Windows\System32\wbiosrvp.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
drtug 0 Опубликовано 17 ноября, 2018 Автор Share Опубликовано 17 ноября, 2018 Да, пытался сначала сам. По рекомендациям из этой темы https://forum.kasperskyclub.ru/index.php?showtopic=59460, думал и мне подойдет: Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Прилагаю лог из AdwCleaner quarantine.zip загружен. Результат загрузки Файл сохранён как 181117_171008_quarantine_5bf04b7040a83.zip Размер файла 333216 MD5 b7489741f50e857b871c00dd624ba08e AdwCleanerS05.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 ноября, 2018 Share Опубликовано 17 ноября, 2018 AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\System32\themctrl.dll', ''); QuarantineFile('C:\Windows\System32\wbiosrvp.dll', ''); DeleteFile('C:\Windows\System32\themctrl.dll', '64'); DeleteFile('C:\Windows\System32\wbiosrvp.dll', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
drtug 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\System32\themctrl.dll', ''); QuarantineFile('C:\Windows\System32\wbiosrvp.dll', ''); DeleteFile('C:\Windows\System32\themctrl.dll', '64'); DeleteFile('C:\Windows\System32\wbiosrvp.dll', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Пришел ответ по вашему карантину, о том, что найдено новое вредоносное ПО: themctrl.dll - Trojan.Win32.Stantinko.z wbiosrvp.dll - Trojan.Win32.Stantinko.aa Лог удаления должен быть вида - AdwCleanerС00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
drtug 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Пришел ответ по вашему карантину, о том, что найдено новое вредоносное ПО: themctrl.dll - Trojan.Win32.Stantinko.z wbiosrvp.dll - Trojan.Win32.Stantinko.aa Лог удаления должен быть вида - AdwCleanerС00.txt В программе AdwCleaner в разделе Карантин нет ничего. Может потому что на предыдущем этапе удалил все файлы из папки AdwCleaner (C:\AdwCleaner) и отправил отчет после сканирования, как только удалил эти файлы вручную Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Вопрос не про карантин, а по логу AdwCleaner, после удаление утилита должна была создать лог вида AdwCleanerС00.txt. Если не находите, то выполните следующие инструкции.- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
drtug 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Вопрос не про карантин, а по логу AdwCleaner, после удаление утилита должна была создать лог вида AdwCleanerС00.txt. Если не находите, то выполните следующие инструкции. - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1213153.dll [No File] FF Plugin-x32: @kaspersky.com/content_blocker -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com [No File] FF Plugin-x32: @kaspersky.com/online_banking -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com [No File] FF Plugin-x32: @kaspersky.com/virtual_keyboard -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com [No File] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File] CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx S2 themctrl; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 themctrl; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) File: C:\Windows\system32\themeservice.dll S2 wbiosrvp; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 wbiosrvp; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) Folder: C:\ProgramData\Caphyon ContextMenuHandlers1: [Notepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
drtug 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1213153.dll [No File] FF Plugin-x32: @kaspersky.com/content_blocker -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\content_blocker@kaspersky.com [No File] FF Plugin-x32: @kaspersky.com/online_banking -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\online_banking@kaspersky.com [No File] FF Plugin-x32: @kaspersky.com/virtual_keyboard -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.0\FFExt\virtual_keyboard@kaspersky.com [No File] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File] CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx S2 themctrl; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 themctrl; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) File: C:\Windows\system32\themeservice.dll S2 wbiosrvp; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 wbiosrvp; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) Folder: C:\ProgramData\Caphyon ContextMenuHandlers1: [Notepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.