kot.bajkot 0 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 Компьютер периодически открывает страницы в браузере и при запуске всегда открывается страничка (каждый раз разная). Логи прилагаю. CollectionLog-2017.07.11-14.39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 Здравствуйте! Ту тему почему не закончили? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 настройки прокси сами прописывали? Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 @Sandor, из логов видно, что это разные компьютеры. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 июля, 2017 Share Опубликовано 11 июля, 2017 @Soft, дело не в том, что разные. А в том, что не хорошо, когда темы бросают не закончив. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kot.bajkot 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 Здравствуйте! Ту тему почему не закончили? Виноват. Пользователь занят по работе и пока не подпускает к компьютеру. В течение нескольких дней я продолжу с ним работу. Прошу помочь в этой теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 июля, 2017 Share Опубликовано 12 июля, 2017 настройки прокси сами прописывали?Ответьте. Цитата Ссылка на сообщение Поделиться на другие сайты
kot.bajkot 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 настройки прокси сами прописывали? Да Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 июля, 2017 Share Опубликовано 12 июля, 2017 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\ssm\ssm.exe', ''); QuarantineFile('C:\Users\EAM\AppData\Local\CinemaPlus-4.2vV04.09-BrowserExtensionUninstall\f67901b4-8a46-4a26-a479-9a44d0a72b53-3.exe', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооgle Chrоme.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internеt Еxрlorer Вrоwsеr.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоme.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Eхplorer.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Exрlorer (Nо Add-оns).lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Еxplorеr.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', ''); QuarantineFile('C:\Users\BPUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотр файлов FinePrint.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Explore FinePrint files.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Explore saved PDF files.lnk', ''); QuarantineFile('C:\Users\Boevik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Explore FinePrint files.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', ''); QuarantineFile('C:\Users\EAM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', ''); QuarantineFile('C:\Users\EAM\Favorites\Links\Интернет.url', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Advanced PDF Editor\On-line Support.url', ''); QuarantineFile('C:\Users\setup\AppData\Roaming\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\Users\setup\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); QuarantineFileF('C:\Users\EAM\AppData\Local\CinemaPlus-4.2vV04.09-BrowserExtensionUninstall', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Windows\System32\ssm', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Windows\Tasks\f67901b4-8a46-4a26-a479-9a44d0a72b53-3.job', '32'); DeleteFile('C:\Users\setup\AppData\Roaming\Browsers\exe.erolpxei.bat', '32'); DeleteFile('C:\Users\setup\AppData\Roaming\Browsers\exe.emorhc.bat', ''); DeleteFile('C:\Users\setup\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); DeleteFile('C:\Users\EAM\AppData\Local\CinemaPlus-4.2vV04.09-BrowserExtensionUninstall\f67901b4-8a46-4a26-a479-9a44d0a72b53-3.exe', '32'); DeleteFileMask('C:\Users\EAM\AppData\Local\CinemaPlus-4.2vV04.09-BrowserExtensionUninstall', '*', true); DeleteDirectory('C:\Users\EAM\AppData\Local\CinemaPlus-4.2vV04.09-BrowserExtensionUninstall'); RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1893088533-2622283528-1556652499-4643\Software\Microsoft\Windows\CurrentVersion\Run', 'mdedkgoaad'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Изменено 12 июля, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
kot.bajkot 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 (изменено) Файл SSM.exe самописный и используется в служебных целях. Какой скрипт выполнить, чтобы не затронуть этот файл? Он создает службу Timemanager. Изменено 12 июля, 2017 пользователем regist оверквотинг Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 июля, 2017 Share Опубликовано 12 июля, 2017 1) Не занимайтесь оверквотингом, это только затрудняет чтение темы. 2) Скрипт обновлён. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 12 июля, 2017 Share Опубликовано 12 июля, 2017 Коллеги, карантин из этой темы нужно обработать ручками, там ~20мб. Спасибо 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kot.bajkot 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 https://virusinfo.info/virusdetector/report.php?md5=0FCD4483BDD09754BE1A7AD54ED593A8 ClearLNK-12.07.2017_14-48.log CollectionLog-2017.07.12-14.59.zip AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 июля, 2017 Share Опубликовано 12 июля, 2017 (изменено) @kot.bajkot, рекомендации надо выполнять в том порядке, в каком их дают. А у вас в итоге файлы для пополнения базы чистых AVZ попали в карантин для отсылки вендорам. Программы/расширения от Mail.ru используете? И эти ярлыки [modified] "C:\Users\BPUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Просмотр файлов FinePrint.lnk" [modified] "C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Explore FinePrint files.lnk" [modified] "C:\Users\EAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Explore saved PDF files.lnk" [modified] "C:\Users\Boevik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FinePrint\Explore FinePrint files.lnk" некоректно пролечило, лучше востановите их на те что были до лечения из карантина AVZ. Файл - Просмотр карантина - поставьте галочку у них - восстановить. Изменено 12 июля, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
kot.bajkot 0 Опубликовано 12 июля, 2017 Автор Share Опубликовано 12 июля, 2017 (изменено) После лечения при авторизации пользователя EAM открылась какая-то страница. Mail.ru не использую. Возможно, его продукты пришли после того, как другой сотрудник не заметил галочку. Выполнял по порядку. Восстановить и повторить все шаги? Fineprint и pdfFactory использую. Изменено 12 июля, 2017 пользователем kot.bajkot Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.