krpnovosel 0 Опубликовано 4 октября, 2019 Share Опубликовано 4 октября, 2019 Антивирус касперского тотал секюрити обнаруживает загрузочного трояна, но вылечить или удалить не может, помогите! добавил отчеты ещё CollectionLog-2019.10.05-05.20.zip FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 октября, 2019 Share Опубликовано 5 октября, 2019 Здравствуйте, HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже. R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://yambler.net/?im R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms} R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text= R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text= R3 - HKCU\..\URLSearchHooks: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: 31D3DFAx3D - C:\Windows\system32\cmd.exe /c "C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat" O23 - Service S2: BDMRTP Service - (BDMRTP) - (no file) O23 - Service S3: PSPR Control Service - (PSPRSERV) - (no file) AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SetServiceStart('BDMNetMon', 4); SetServiceStart('BDAntiExp', 4); SetServiceStart('BDEnhanceBoost', 4); QuarantineFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', ''); DeleteFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '64'); DeleteSchedulerTask('31D3DFAx3D'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 5 октября, 2019 Автор Share Опубликовано 5 октября, 2019 лог AdwCleaner https://virusinfo.info/showthread.php?t=223740&p=1505016#post1505016 AdwCleanerS00.txt AdwCleaner_Debug.log Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 октября, 2019 Share Опубликовано 5 октября, 2019 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 5 октября, 2019 Автор Share Опубликовано 5 октября, 2019 Сделал AdwCleanerS02.txt AdwCleaner_Debug.log Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 6 октября, 2019 Share Опубликовано 6 октября, 2019 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 6 октября, 2019 Автор Share Опубликовано 6 октября, 2019 сделал AdwCleanerS03.txt AdwCleaner_Debug.log Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 6 октября, 2019 Автор Share Опубликовано 6 октября, 2019 Вот такого показывает трояна Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 6 октября, 2019 Share Опубликовано 6 октября, 2019 Отключите ВСЕ установленные в браузерах расширения и проверьте проблему. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 6 октября, 2019 Автор Share Опубликовано 6 октября, 2019 Отключил все установленные в браузерах расширения Отключил все установленные в браузерах расширения Обнаружено: Trojan.Multi.BroSubsc.gen Расположение: System Memory AdwCleanerS06.txt AdwCleaner_Debug.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 6 октября, 2019 Share Опубликовано 6 октября, 2019 Очистите отчеты антивируса с найденными угрозами, перезагрузите компьютер. Выполните проверку антивирусом и сообщите результат. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 6 октября, 2019 Share Опубликовано 6 октября, 2019 Если проблема будет воспроизводиться и дальше приложите пожалуйста следующий лог: Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 8 октября, 2019 Автор Share Опубликовано 8 октября, 2019 При полной проверке Kaspersky Total Security вирусов не находит. Но время от времени продолжает вылазить окно с попыткой лечить TROJAN.MULTI.BROSUBSC.gen Описание Зловреды этого семейства устанавливаются в браузеры обманным путём на мошеннических и рекламных ресурсах и показывают рекламные уведомления, даже если окно браузера не активно. Окна с рекламой в браузере хром постоянно вылазят. ALEX-INC_2019-10-08_21-13-47_v4.1.7.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 8 октября, 2019 Share Опубликовано 8 октября, 2019 Закройте и сохраните все открытые приложения.Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c zoo %SystemDrive%\PROGRAM FILES (X86)\ITOOLS 3\ITOOLS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL restart Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена. После выполнения ПК перегрузиться. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите этот архив через данную форму . Браузер хром у Вас синхронизирован? Цитата Ссылка на сообщение Поделиться на другие сайты
krpnovosel 0 Опубликовано 8 октября, 2019 Автор Share Опубликовано 8 октября, 2019 скрипт выполнил, перезагрузился, но архива ZIP с именем, начинающимся с ZOO_ не появилось. Браузер хром - да, синхронизирован Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.