popov3275 0 Опубликовано 5 ноября, 2019 Share Опубликовано 5 ноября, 2019 При сканировании касперский обнаружил троян CollectionLog-2019.11.05-14.35.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 ноября, 2019 Share Опубликовано 5 ноября, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Затем: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
popov3275 0 Опубликовано 5 ноября, 2019 Автор Share Опубликовано 5 ноября, 2019 Прикрепляю AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 ноября, 2019 Share Опубликовано 5 ноября, 2019 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 ноября, 2019 Share Опубликовано 5 ноября, 2019 (изменено) + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. + G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать? H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом. Даже ваша сборка H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить). Изменено 5 ноября, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
popov3275 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt AdwCleanerC01.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Это тоже сделайте, пожалуйста. Затем: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
popov3275 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 ссылка на virusinfo.info FRST.txt во вложении https://virusinfo.info/virusdetector/report.php?md5=B77E1D3EFC731615C115D8E7C9E00DF5 + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. + G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать? H:\Портативный софт\ACDSee Pro 4.0.198 Rus Portable S nz\ACDSee Pro 4 nz.exe H:\Портативный софт\Office 2010 Portable\Portable Microsoft Office 2010.exe аналогично наследили в планировщике. Так что не стоит верить всему, что горе сборщики называют портаблом. Даже ваша сборка H:\Портативный софт\Опера\operausb1101ru\launcher.exe --scheduledautoupdate и то там отметилась, это при том что эта программа портативна из коробки (достачно один параметр в .ini изменить, либо просто галку при установке поставить). Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Это тоже сделайте, пожалуйста.Затем: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-2637190121-452616487-1371552210-1314 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} - No File AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\lera\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\lera\AppData\Roaming:iSpring Solutions [128] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве.В антивирусе очистите все отчёты и события. Повторите проверку и сообщите результат. FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 1. Не цитируйте полностью предыдущие сообщения. Используйте форму быстрого ответа внизу. 2. Старайтесь отвечать на все наши вопросы: G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил. Будем его зачищать? 3. Вы прикрепили не тот файл, нужен Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
popov3275 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 3. Вы прикрепили не тот файл, нужен Fixlog.txt Fixlog_06-11-2019 13.51.30.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 Еще не ответили на п.2 Обнаружение продолжается? Цитата Ссылка на сообщение Поделиться на другие сайты
popov3275 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 (изменено) + G:\Портативный софт\AnVir Task Manager Portable\OpenHardwareMonitor\OpenHardwareMonitorLib.sys совсем не портативный он. Прописал у вас свою службу и в планировщике заданий тоже наследил.Будем его зачищать? Будем Изменено 6 ноября, 2019 пользователем Sandor Поправил BB-код Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 Свежие логи Автологером соберите и прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.