Перейти к содержанию

Рекомендуемые сообщения

quiknowledge удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-novainstaller.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-nova.exe','');
QuarantineFile('C:\Program Files (x86)\Mediaa_Play_AIR_1.4\Mediaa_Play_AIR_1.4-codedownloader.exe','');
DelBHO('{A12F6C78-BF3A-46FD-E47D-50CC8342822F}');
DelBHO('{323C6E6D-1621-470F-8A52-4FDEC4E75E40}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitBR171.exe','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
SetServiceStart('qksvc', 4);
DeleteService('qksvc');
DeleteService('WindowsProtectManger');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
TerminateProcessByName('c:\programdata\windowsprotectmanger\wprotectmanager.exe');
QuarantineFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','');
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('c:\programdata\windowsprotectmanger\wprotectmanager.exe','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\171.dll','32');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-6.job','64');
DeleteFile('C:\Windows\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7.job','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-1','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-2','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-3','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-4','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-5','64');
DeleteFile('C:\Windows\system32\Tasks\d71a77cf-58c7-4391-af6b-052d6a49ce04-7','64');
DeleteFile('C:\Windows\system32\Tasks\Re-markit Update','64');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1402228548&from=tugs&uid=SAMSUNGXHD503HI_S23CJ9CZC02258
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на сообщение
Поделиться на другие сайты

Вот новые логи 


То что пришло после отправки карантина

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.     Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам  воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab.  Данная возможность была специально предусмотрена  для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой  : http://support.kaspersky.ru/virlab/helpdesk.html  для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.


KLAN-1692513104


Прикладываю лог полного сканирования МВАМ

info.txt

log.rar

log.txt

анти.txt

Ссылка на сообщение
Поделиться на другие сайты

удалите всё найденное в MBAM.

приложите новый лог MBAM


Запустив AVZ от имени администратора (по правому клику мыши),

выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
ExecuteAVUpdate;
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\dgen.bak');
TerminateProcessByName('c:\program files (x86)\activeris antimalware\activerisantimalware.exe');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','');
QuarantineFile('C:\ProgramData\WindowsProtec','');
QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','');
QuarantineFile('C:\Windows\Temp\dgen.bak','');
QuarantineFile('c:\program files (x86)\activeris antimalware\activerisantimalware.exe','');
QuarantineFile('C:\Users\Артём\AppData\Roaming\Activeris\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\SupTab\*',' ');
QuarantineFile('C:\ProgramData\WindowsProtectManger\*',' ');
QuarantineFile('C:\ProgramData\IePluginServices\*',' ');
QuarantineFile('C:\Program Files (x86)\SupTab\*',' ');
QuarantineFile('C:\ProgramData\Activeris\*',' ');
QuarantineFile('C:\Program Files (x86)\Activeris AntiMalware\*',' ');
QuarantineFile('C:\Windows\system32\acrisnative64.exe',' ');
QuarantineFile('C:\Program Files (x86)\globalUpdate\*',' ');
QuarantineFile('C:\Users\Артём\AppData\Roaming\VOPackage\*',' ');
QuarantineFile('C:\Program Files\PCDApp\*',' ');
QuarantineFile('C:\Program Files (x86)\Re-markit-soft\*',' ');
DeleteFile('C:\Windows\Temp\dgen.bak','32');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\acrissys.dll','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
DeleteFile('C:\ProgramData\WindowsProtec','32');
DeleteFile('C:\Windows\Tasks\Re-markit Update.job','64');
DeleteFile('C:\Windows\Tasks\Re-markit_wd.job','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\Activeris AntiMalware_startup','64');
DeleteFile('C:\Program Files (x86)\Activeris AntiMalware\ActiverisAntiMalware.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markitw.exe','32');
DeleteFile('C:\Program Files (x86)\Re-markit-soft\Re-markito55.exe','32');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\WindowsProtectManger\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\IePluginServices\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
DeleteFileMask('C:\ProgramData\Activeris\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Activeris AntiMalware\','* ',true ,' ');
DeleteFile('C:\Windows\system32\acrisnative64.exe','32');
DeleteFileMask('C:\Program Files (x86)\globalUpdate\','* ',true ,' ');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\VOPackage\','* ',true ,' ');
DeleteFileMask('C:\Program Files\PCDApp\','* ',true ,' ');
DeleteFileMask('C:\Program Files (x86)\Re-markit-soft\','* ',true ,' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\Activeris',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\SupTab',' ');
DeleteDirectory('C:\ProgramData\WindowsProtectManger',' ');
DeleteDirectory('C:\ProgramData\IePluginServices',' ');
DeleteDirectory('C:\Program Files (x86)\SupTab',' ');
DeleteDirectory('C:\ProgramData\Activeris',' ');
DeleteDirectory('C:\Program Files (x86)\Activeris AntiMalware',' ');
DeleteDirectory('C:\Program Files (x86)\globalUpdate',' ');
DeleteDirectory('C:\Users\Артём\AppData\Roaming\VOPackage',' ');
DeleteDirectory('C:\Program Files\PCDApp',' ');
DeleteDirectory('C:\Program Files (x86)\Re-markit-soft',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');DelAutorunByFileName('C:\PROGRA~2\SupTab\SEARCH~2.DLL ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14286;https=127.0.0.1:14286
O4 - HKLM\..\Run: [DApp] C:\Program Files\PCDApp\start.vbs

Сделайте новые логи по правилам.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От m1hazka
      Вопрос про вирус-стиллер AzoRULT,ТОЛЬКО ПОНИМАЮЩИЕ ЛЮДИ.
      Сегодня сделал с помощью Мicrosoft Defender полную проверку, под конец он нашел вирус Trojan.Win32Azorult,про азорулта я уже прочитал, вопрос в том как его полностью удалить, и ВОЗМОЖНО ЛИ ИЗБАВИТЬСЯ ОТ ЭТОГО ВИРУСА ПОСРЕДСТВОМ ПЕРЕУСТАНОВИТЬ ВИНДУ, так же появилась странная учётная запись с ником john, увидел ее сначало через реестр в SpecialAccounts,значение стояло на 0,отсюда я сделал вывод что она была скрыта, так же смотрел то, что вирус сделал это учётную запись администратором, значение я поставил на 1 чтобы она отображалась и удалил её,но потом зашёл в центр учётных записей, просто ради интереса нажал "Изменить тип учётной записи " ,и что я вижу- моя учётная запись с обычными правами, права администратора поставить нельзя, так же заметил что вирус не даёт зайти в некоторые службы Виндоус, например gpedit.msc ввожу через win + r, закрывается спустя 1-2 секунды, ещё вирус я так понял заблокировал мне доступ на сайты некоторых антивирусов, Касперский я не могу установить из-за того, что нету прав администратора, на ДР. Веб курилку не пускает, пишет что сайт недоступен Что делать дальше не знаю, буду премного благодарен, тем кто разбирается.
    • От Oxigen4ik
      Здравствуйте, недавно решил провести проверку пк и увидел что установлен троян, читал в интернете что этот троян ворует только пароли а так он безвредный(но я так не думаю.

    • От Dmitry Nevajno1
      Добрый день, Kaspersky Endpoint Security, начал выдавать активную угрозу "Trojan.Win32.SEPEH.gen". Выполняли обновления Windows, проверял adwcleaner'ом, толку ноль. Из за него сбоит сервер "Экран смерти". Как быть?

    • От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

×
×
  • Создать...