ХАКИМ 4 Опубликовано 4 мая, 2014 Share Опубликовано 4 мая, 2014 Вчера достался компьютер с такими симптомами- браузер после перезагрузки компа меняет домашнюю страницу, с www.google.ru на google.ru, например, то же самое и с однокласниками. Антивирусник kis 2014 тупо не устанавливается, говорит уже установлен продукт касперского, насколько известно был до этого установлен -http://www.kaspersky.ru/downloads-endpoint-security-windows видимо некорректно был удален, и не только он -то же самое с программами и сиграми.По пунктам- 1.KVR- Dr.Web- 2.AVZ скрипт очистки выполнен без ошибок. 3.virusinfo_syscure.zip 4.virusinfo_syscheck.zip 5.info.txtlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 мая, 2014 Share Опубликовано 4 мая, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Best\AppData\Local\Schedule\Schedule.exe',''); QuarantineFile('C:\Users\Best\AppData\Local\BitMaster\bitmaster.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); SetServiceStart('Wpm', 4); DeleteService('Wpm'); TerminateProcessByName('c:\programdata\wpm\wprotectmanager.exe'); QuarantineFile('c:\programdata\wpm\wprotectmanager.exe',''); DeleteFile('c:\programdata\wpm\wprotectmanager.exe','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect','command'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); DeleteFile('C:\Users\Best\AppData\Local\Schedule\Schedule.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 4 мая, 2014 Автор Share Опубликовано 4 мая, 2014 Ошибка - Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 мая, 2014 Share Опубликовано 4 мая, 2014 Ну так Вы сами не скопировали точку после end Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 4 мая, 2014 Автор Share Опубликовано 4 мая, 2014 Спасибо, я уже увидел, сейчас исправлюсь! Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 4 мая, 2014 Автор Share Опубликовано 4 мая, 2014 Она зависла? - Уже с полчаса этот файл сканирует!!! Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 5 мая, 2014 Автор Share Опубликовано 5 мая, 2014 (изменено) Логи- лог.txt virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt newvirus@kaspersky.com Полученный ответ-- bitmaster.exeФайл в процессе обработки.wprotectmanager.exe - not-a-virus:AdWare.Win32.WProtManager.aЭто файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesС уважением, Лаборатория Касперского Изменено 5 мая, 2014 пользователем ХАКИМ Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 мая, 2014 Share Опубликовано 5 мая, 2014 удалитие всё найденное в MBAM новый лог приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 5 мая, 2014 Автор Share Опубликовано 5 мая, 2014 Вот, как-то так- лог2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 5 мая, 2014 Share Опубликовано 5 мая, 2014 повторите логи по правилам (2 AVZ и 2 RSIT) Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 5 мая, 2014 Автор Share Опубликовано 5 мая, 2014 Сделал вот так- virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt и на всякий...- ЛОГ3.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 мая, 2014 Share Опубликовано 6 мая, 2014 выполните скрипт в AVZ begin DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); DeleteFile('C:\Users\Best\AppData\Local\BitMaster\bitmaster.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitMaster','command'); DeleteFile('C:\Windows\Tasks\SaveSense.job','64'); DeleteFile('C:\Users\Best\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\SaveSense','64'); DeleteFile('C:\Users\Best\AppData\Roaming\desktopy.ru\desktopy.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy','command'); BC_ImportAll; BC_Activate; RebootWindows(true); end. после перезагрузки пофиксите в Hijackthis: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391788182&from=amt&uid=ST500DM002-1BD142_Z3T82DM7XXXXZ3T82DM7&q={searchTerms} O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) вручную удалите папки: 2014-02-07 20:50:16 ----D---- C:\Program Files (x86)\SupTab 2014-02-07 20:50:12 ----D---- C:\ProgramData\WPM 2014-02-07 20:49:08 ----D---- C:\Program Files (x86)\desktopy 2014-02-07 20:48:53 ----D---- C:\Users\Best\AppData\Roaming\desktopy.ru приложите новые логи 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 6 мая, 2014 Автор Share Опубликовано 6 мая, 2014 (изменено) Делаю... "R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391788182&from=amt&uid=ST500DM002-1BD142_Z3T82DM7XXXXZ3T82DM7&q={searchTerms}-" этой строчки не было! "O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)- эту пофиксил!" "2014-02-07 20:50:16 ----D---- C:\Program Files (x86)\SupTab2014-02-07 20:50:12 ----D---- C:\ProgramData\WPM--" тоже отсутствуют, через поиск их тоже не нашел! "2014-02-07 20:49:08 ----D---- C:\Program Files (x86)\desktopy2014-02-07 20:48:53 ----D---- C:\Users\Best\AppData\Roaming\desktopy.ru-" эти удалил! info.txtlog.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip hijackthis.log Изменено 6 мая, 2014 пользователем ХАКИМ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 мая, 2014 Share Опубликовано 6 мая, 2014 Выполните скрипт в AVZ begin RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Internet Explorer\Toolbar'); RegKeyDel('HKLM', 'SOFTWARE\wow6432node\Microsoft\Internet Explorer\Toolbar'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\AnyProtect'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\BitMaster'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\desktopy'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Praetorian'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Rambler Update'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Schedule'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TkBellExe'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\VkontakteDJ'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\ZaxarLoader'); RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Best^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk'); RebootWindows(false); end.Компьютер перезагрузится. Сделайте новые логи RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
ХАКИМ 4 Опубликовано 6 мая, 2014 Автор Share Опубликовано 6 мая, 2014 Сделал- info.txtlog.txt A это что? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.