Перейти к содержимому


Фотография
- - - - -

Есть подозрительные файлы

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 31 Январь 2017 - 21:04

При проверке программой Virus removal tool нашел 4 подозрительных файла на системном диске. HEUR:Trojan.Script.StartPageTask.a. Находится он по адрессу C:\Windows\System32\Tasks\cFos\Registration Tasks\Open Browser. Программа  хочет его удалить.Но я точно знаю это скрипт др программы  cFocSpeed (использую ее для уменьшения пинга в играх), загрузил этот файл на virustotal. Ругнулся на этот файл только Каспер. ((. Это надеюсь какая-то ошибка самого Каспера?

 

А также 3 др файла с not-a-virus:WebToolbar.Win32.Asparnet.ay. Программа решает пропустить. Пишет легальная программа бла бла бла.... Вот вопрос что мне делать?

 

Также проверил по советам dr web cureit - ничего подозрительного он не нашел. Ос win 7


  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 856

Награды

           

Отправлено 31 Январь 2017 - 21:08

Порядок оформления запроса о помощи


  • 0

#3 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 31 Январь 2017 - 21:29

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 01 Февраль 2017 - 16:25

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

autorun
Unity Web Player


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\edward\appdata\local\autorun', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\adobe\flash player\7877e207-a701-4a29-9a47-14e45220aaa8', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Edward\AppData\Local\autorun\autorun.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\7877E207-A701-4A29-9A47-14E45220AAA8\FFB8E0B6-DAF6-4C01-A416-FB39FA41CA82.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "autorun" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7877E207-A701-4A29-9A47-14E45220AAA8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7877E207-A701-4A29-9A47-14E45220AAA8" /F', 0, 15000, true);
 DeleteFile('C:\Users\Edward\AppData\Local\autorun\autorun.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\7877E207-A701-4A29-9A47-14E45220AAA8\FFB8E0B6-DAF6-4C01-A416-FB39FA41CA82.exe', '32');
 DeleteFileMask('c:\users\edward\appdata\local\autorun', '*', true);
 DeleteDirectory('c:\users\edward\appdata\local\autorun');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Февраль 2017 - 17:27

При выполнении скрипта возникли проблемы, а именно, при загрузке винды выполз синий экран. Это уже моя ошибка с драйверами. К делу думаю это не относится. Пришлось делать восстановление системы, удалять проги по новой, и запускать скрипт.

При удалении именно программы unity web player выползла ошибка про деинсталяцию, но программа была всё ж удалена.

Так как я не являюсь пользователем продуктов Лаборатории Касперского. пришлось закинуть файл quarantine.zip вот сюда https://scan.kaspersky.ru/Home/Result. При загрузке этого самого файла выдало:

Результат проверки

файл содержит ошибки 

Что мне делать в этом случае?

 

Прикрепляю всё что просили...(логи)

 

 

 

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 01 Февраль 2017 - 17:34

Пришлось делать восстановление системы

Нужно было после этого собрать свежий CollectionLog. Но пока не надо, продолжим.

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Так как я не являюсь пользователем

Разве для отправки по адресу требуется быть пользователем ЛК? :)
  • 0
Изображение

#7 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Февраль 2017 - 18:00

Насчет восстановления системы делал 5 часов назад резервную копию до того как не поставил косячные драйвера, вот она мне оказывается и пригодилась (а то даж загрузиться не мог). И по файлу который я загрузил касперу, он ведь оказался битым, не так-ли?

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 02 Февраль 2017 - 09:13

он ведь оказался битым, не так-ли?

Пока не знаю. Залейте его на файлообменник, ссылку на скачивание мне в ЛС.

Далее:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=821272
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B54970202-B488-41D1-8AF2-524284269247%7D&gp=821273
FF Extension: (No Name) - C:\Users\Edward\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exnetwork@biz-come.net [2014-07-26] [not signed]
Task: {73A4E05B-E449-4E34-B1D1-65ECA93E79C4} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {77E9AFA2-BEAA-4B45-B29B-3F390E3E8687} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {AD85CF91-0BD0-4817-B5BF-5EEFEC31A2D1} - \SafeBrowser -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#9 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 03 Февраль 2017 - 12:25

Вот как и просили, ссылку на файл сбросил в лч.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,26К   скачиваний 1

Сообщение отредактировал Castle90: 03 Февраль 2017 - 12:42

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 03 Февраль 2017 - 12:38

Не нужно. Что сейчас с проблемой?
  • 0
Изображение

#11 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 03 Февраль 2017 - 13:14

Запустил заново virus removal tool с галкой проверить системный диск. Обнаружил один объект HEUR:Trojan.Script.StartPageTask.a и предлагает этот файл удалить. Опять по тому ж адрессу C:\Windows\System32\Tasks\cFos\Registration Tasks\Open Browser.

 

Мне проигнорировать?


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 03 Февраль 2017 - 13:34

Есть такой термин "Ложное срабатывание". Можете указанный файл отправить через форму с соотв. указанием.

Если в остальном порядок, в завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#13 OFF   Castle90

Castle90

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 03 Февраль 2017 - 15:25

Спасибо большое. Файл был успешно отправлен.

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 03 Февраль 2017 - 15:28

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Дата установки обновлений: 2014-05-23 14:31:08
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.186 Внимание! Скачать обновления
Adobe Flash Player 24 NPAPI v.24.0.0.186 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Registry Repair 5.0.1.82 v.5.0.1.82 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Последнюю если решите удалять, пробуйте стандартно, через Панель управления.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных