Дрон 0 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 MEM:Trojan-Spy.Win32.Agent.gen системная память. Обнаружен и не лечится и не удаляется. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Здравствуйте! Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 Прошу прощения не прикрепил лог Еще раз CollectionLog-2018.02.22-14.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Через Панель управления - Удаление программ - удалите нежелательное ПО: amuleC MediaGet Unity Web Player Менеджер браузеров Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', ''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', ''); QuarantineFile('C:\ProgramData\service.exe', ''); QuarantineFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', ''); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\programdata\microsoft\macromed\flash player\0db4635f-eb22-462b-859a-06224b38f844', '*', true, '', 0 , 0); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0DB4635F-EB22-462B-859A-06224B38F844" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UnregisterNonABICompliantCodeRange" /F', 0, 15000, true); DeleteFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32'); DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '32'); DeleteFile('C:\ProgramData\service.exe', '32'); DeleteFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '32'); DeleteFile('C:\Users\Андрей\Favorites\Links\Интернет.url'); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteFileMask('c:\programdata\krb updater utility', '*', true); DeleteDirectory('c:\program files (x86)\kinoroom browser'); DeleteDirectory('c:\programdata\krb updater utility'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:wx0EC1.batWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ KLAN-7674924173Новые логи CollectionLog-2018.02.22-15.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 AdwCleaner отчет AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 Далее AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476787665&z=f941fd0a2ab6fee504841b3gfzdm6q1m0b0m1qdqdo&from=amule1017&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL&q={searchTerms} SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1F51EB10-C77F-4E04-A261-431534F1225D%7D&gp=811014 Edge HomeButtonPage: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476179780&z=dc243f816e70d89d810beefgbzdmfq8gcm3t3mdm5g&from=che0812&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-11-19] [Legacy] [not signed] C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} => -> No File ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} => -> No File Task: {4AEEDD6B-5687-4B27-8B6E-23E3FF62A1C9} - System32\Tasks\Microsoft\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe Task: {4D33284D-805E-45B1-934B-BBE4E8A36BAC} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe Task: {547D0EB7-99D8-4580-A380-914316857355} - System32\Tasks\86Y5012J8186s805 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\86Y5012J8186s805\86Y5012J8186s805.dll",YJsAclNDc <==== ATTENTION Task: {70C2CE65-0AA5-4051-9C8B-6F8D9474C7AE} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429SB => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] Online.io Application (HKLM-x32\...\{F0847AE0-465A-4D7B-A555-AABB43B550F0}) (Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В перечне установленных программ появится Online.io Application Если не самостоятельно устанавливали, удалите. Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 Далее Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 23 февраля, 2018 Автор Share Опубликовано 23 февраля, 2018 Проблема осталась. Новые логи AutoLogger прикрепляю CollectionLog-2018.02.23-07.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Дрон 0 Опубликовано 24 февраля, 2018 Автор Share Опубликовано 24 февраля, 2018 Свежие логи CollectionLog-2018.02.24-14.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 февраля, 2018 Share Опубликовано 24 февраля, 2018 1) TektonIT RMS - сами ставили?2) "Пофиксите" в HijackThis: O21 - HKLM\..\ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file) O22 - Task: Anofotion Collector - C:\Program Files (x86)\Gronuchcoaregh\bemition.exe 9e42fd65-140a-43eb-b4cd-52bffcdf0d7e (file missing) O22 - Task: Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing) O22 - Task: Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing) O22 - Task: Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing) O22 - Task: Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing) O22 - Task: Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing) O22 - Task: Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing) O22 - Task: \Microsoft\188D349961AE55BD7C2FB46A6C2CF429SB - C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe /S --safebrowser (file missing) O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client" O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server" 3) Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. 4) Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.