Екатерина Белозерцева 1 Опубликовано 20 февраля, 2018 Share Опубликовано 20 февраля, 2018 Здравствуйте!Касперский обнаружил MEM:Trojan-Spy.Win32.Agent.gen. Лечение не помогает. После перезагрузки вирус снова обнаруживается в системной памяти. Также проверяла Dr.Web CureIt!.- он его не находит, в том числе при проверке с загрузочной флэшки. Перед началом перезагрузки выбивает сообщение: ***.dll (разные имена файлов) не предназначен для windows. Дважды после перезагрузки переставали открываться любые файлы на диске С. CollectionLog-2018.02.20-17.39.zip 1 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 февраля, 2018 Share Опубликовано 20 февраля, 2018 - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 20 февраля, 2018 Автор Share Опубликовано 20 февраля, 2018 Логи, пожалуйста ClearLNK-20.02.2018_18-34.log AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 февраля, 2018 Share Опубликовано 20 февраля, 2018 # AdwCleaner v4.202 - Отчёт создан 24/04/2015 в 00:08:50 1) Деинсталируйте утилиту кнопкой Uninstall (Деинсталлировать). 2) Скачайте актуальную версию по ссылке, что я дал и сделайте лог как написано выше. Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 20 февраля, 2018 Автор Share Опубликовано 20 февраля, 2018 Извините, прошлый лог остался от давней работы уже удаленной программы Прикрепляю актуальный AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 февраля, 2018 Share Опубликовано 21 февраля, 2018 (изменено) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Изменено 21 февраля, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 21 февраля, 2018 Автор Share Опубликовано 21 февраля, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Прикрепляю логи. Окна о деятельности руткита не было. AdwCleanerC0.txt gmer_log_2018-02-21.log Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 февраля, 2018 Share Опубликовано 21 февраля, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('wfcre'); QuarantineFile('C:\windows\system32\drivers\wfcre.sys', ''); DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32'); DeleteService('wfcre'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 21 февраля, 2018 Автор Share Опубликовано 21 февраля, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('wfcre'); QuarantineFile('C:\windows\system32\drivers\wfcre.sys', ''); DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32'); DeleteService('wfcre'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Спасибо за советы и помощь! Файл quarantine.zip отправила с помощью формы. Прикрепляю логи повторной диагностики. adwcleaner.exe удалила. CollectionLog-2018.02.21-23.05.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 февраля, 2018 Share Опубликовано 21 февраля, 2018 @Екатерина Белозерцева, хватит заниматься оверковотингом. Это затрудняет чтение и запрещено правилами форума. А для ответа есть поле быстрого ответа внизу. Если хотите что-то процитировать пользуйтесь цитатой выделенного. смените пароли! Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 21 февраля, 2018 Автор Share Опубликовано 21 февраля, 2018 @regist, вас поняла. Спасибо за помощь! После 15 мин зависания процесса обработки найденного трояна Касперский перестал детектировать эту проблему. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 февраля, 2018 Share Опубликовано 21 февраля, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Екатерина Белозерцева 1 Опубликовано 21 февраля, 2018 Автор Share Опубликовано 21 февраля, 2018 @regist, выполнено, уязвимостей не обнаружено. Рекомендации выполню. Благодарю за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.