Алексей Корякин 0 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 (изменено) Мужики помогите решить проблему, первый раз с таким сталкиваюсь подхватил вирусы... стоял антивирусник COMODO! после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он вылечил/ удалил. их я перечислю ниже: 1. Обнаруженный объект (системная память) вылечен. Название объекта: Trojan.Multi.WMIRun.a 2. Обнаруженный объект ( память процесса ) удален. Название объекта: PDM:Trojan.Win32.Bazon.a 3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1 но проблема осталась, собственно говоря при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, мой основной браузер - Chrome. Жду комментариев, заранее Спасибо всем кто поможет!!! с уважением Алексей. Изменено 6 июля, 2017 пользователем Алексей Корякин Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 (изменено) Thyrex добрый день спасибо что откликнулись, выполнил всё по инструкции 1. Провел проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015; 2. Провел проверку с помощью AutoLogger.exe zip-архив с собранными логами прикрепляю ниже С чего все началось: подхватил вирусы... стоял антивирусник COMODO, после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он вылечил/ удалил. их я перечислю ниже: 1. Обнаруженный объект (системная память) вылечен. Название объекта: Trojan.Multi.WMIRun.a 2. Обнаруженный объект ( память процесса ) удален. Название объекта: PDM:Trojan.Win32.Bazon.a 3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1 P.S: Проблема осталась, при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, так же уже после запуска Windows периодически Касперский снова выдает оповещения что заблокирован снова опасный веб адрес. Мой основной браузер - Chrome. С уважением Алексей. CollectionLog-2017.07.06-12.36.zip Изменено 6 июля, 2017 пользователем Алексей Корякин Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 Порядок оформления запроса о помощи Сейчас все оформлю как надо, спасибо Кстати adwcleaner_6.047 НЕ ПОМОГ. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 C:\Users\Леша\AppData\Roaming\curl\ curl - как понимаю вам не знаком? Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 C:\Users\Леша\AppData\Roaming\curl\ curl - как понимаю вам не знаком? нет... извиняюсь... я в этих делах не специалист.... что-то серьезное? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', ''); QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.Удалите остатки Comodo Чистка системы после некорректного удаления антивируса Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 (изменено) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', ''); QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', ''); QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Удалите остатки Comodo Чистка системы после некорректного удаления антивируса Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Regist спасибо, вроде все сделал: 1. ссылка на анализ карантина: https://virusinfo.info/virusdetector/report.php?md5=BB8B80108354ABEFA1A8D0A98CB872AB 2. файл quarantine.zip из папки AVZ отправьил по адресу newvirus@kaspersky.com , ответ пока не пришел 3. Cейчас выполню еще это: Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Вот отчет ClearLNK: Пришел ответ от newvirus@kaspersky.com номер клана: [KLAN-6490916182] так же пришел ответ от cyberhelper@virusinfo.info цитирую: Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: BB8B80108354ABEFA1A8D0A98CB872AB) был успешно обработан системой CyberHelper. Ознакомиться с подробными результатами анализа можно по следующим ссылкам: Результаты проверки онлайн-сервисом VirusDetector » Обсуждение результатов проверки » Жду дальнейших указаний. Алексей ClearLNK-06.07.2017_13-46.log Изменено 6 июля, 2017 пользователем Алексей Корякин Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Не цитируйте полностью сообщение. Используйте форму быстрого ответа. Удалите остатки ComodoУдалили? Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.Ждем. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 делаю чистку сейчас с помощью AVG_Remover (после перезагрузки) повторно запущу Autologger повторно Диагностику делаю через Autologger, отчет в ближайшее время прикреплю. вот последний отчет после повторной диагностики. буду ожидать дальнейших указаний, спасибо CollectionLog-2017.07.06-14.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 делаю чистку сейчас с помощью AVG_RemoverДля очистки следов Comodo нужна другая утилита. Пройдитесь ей, затем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 окей сейчас все сделаю, спасибо Sandor, отпишусь как закончу Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа? В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
Алексей Корякин 0 Опубликовано 6 июля, 2017 Автор Share Опубликовано 6 июля, 2017 Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа? В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера. скачал Uninstaller Tool v0.3b для Comodo. Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю) Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа? В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера. Антивирус отключал... программа сама задает вопрос - вы отключили антивирус? в этот момент я его отключил на 30 минут. Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно? делаю чистку сейчас с помощью AVG_RemoverДля очистки следов Comodo нужна другая утилита. Пройдитесь ей, затем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Sandor вот отчеты от FRST, прикрепляю FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 июля, 2017 Share Опубликовано 6 июля, 2017 скачал Uninstaller Tool v0.3b для Comodo. Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю) я же дал вам ссылку на инструкцию по удалению https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ там и ссылка и описание Официальные инструкции по удалению продуктов Comodo размещены в этой статье базы знаний.Для автоматизации этих действий сообществом пользователей была разработана утилита Comodo Products Uninstaller ToolУдалите Comodo через апплет Панели управления. После удаления перезагрузите компьютер и переходите к следующему пункту. Если Comodo нет в списке установленных программ, удаление Comodo не запускается или появляется ошибка при удалении Comodo, переходите к следующему пункту.Отключите Sandbox (Песочница) / Defense+ (Щелкните правой кнопкой мыши по иконке CIS > Sandbox/Defense+ Security Level > Disable). Это позволит беспрепятственно отключить и удалить CIS и другие защищённые приложенияЗагрузите утилиту для удаления ComodoРаспакуйте скаченный архив и запустите файл "Uninstaller Tool.exe" (в Windows Vista/7 запустите от имени администратора).Выберите программу, которую вы хотите удалить и нажмите "Uninstall ***"После завершения удаления перезагрузите компьютер. Антивирус отключал... программа сама задает вопрос - вы отключили антивирус? Задаёт Автологера, а я про выполнение скрипта лечения в AVZ. Пост №7 Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно? Да. в этот момент я его отключил на 30 минут. Надо не на 30 минут, а Приостановить (чтобы включилась она только по вашему требованию).Так что отключайте антивирус полностью и переделывайте. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.