Мурзин Сергей 0 Опубликовано 17 июля, 2014 Share Опубликовано 17 июля, 2014 Здравствуйте. комп заражен. проверил cureit-ом в безопасном режиме (нашел - удалил), проверил Kaspersky Virus Removal Tool (нашел - удалил вирусы), проверил NOD32 онлайн (нашел -удалил). ранее был установлен AVG, скачал утилиту удаления - запустил, скачал утилиту удаления продуктов Касперского - запустил. после каждого действия пытался установить Kaspersky Internet Security для всех устройств - на стадии установки программы установка прекращается. как быть? CollectionLog-2014.07.18-09.01.zip Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 может что то осталось от вирусов или предыдущих продуктов установленных, я бы сначало создал запрос в теме Борьба с вирусами, а потом тут просил помощи по установке продукта Лаборатории, прикрепив ссылку на выполненный отчет GSI Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 может что то осталось от вирусов или предыдущих продуктов установленных и то, и то. @Мурзин Сергей, дождитесь развёрнутого ответа консультанта. Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 18 июля, 2014 Автор Share Опубликовано 18 июля, 2014 может что то осталось от вирусов или предыдущих продуктов установленных, я бы сначало создал запрос в теме Борьба с вирусами, а потом тут просил помощи по установке продукта Лаборатории, прикрепив ссылку на выполненный отчет GSI и я так думаю! в моём описании проблемы об этом и идет речь, просто я уже не вижу вариантов её решения. И я разве не в теме "борьба с вирусами"? (я первый раз обращаюсь - может чего не понимаю). и еще: был вирус (не знаю названия) который скрывает папки а вместо них создаёт lnk с таким же названием, так же не открывался сайт касперского. я выполнил команду route /f и использовал утилиту FiXit для восстановления hosts. сейчас сайт открывается. еще реклама про легкий заработок на домашней странице всех браузеров. Помогите плиз время поджимает Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_SO 267 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 @Мурзин Сергей, в качестве дополнительной меры по очистке ПК сделайте следующее: 1. Загрузитесь в безопасном режиме. 2. Удалите файлы в каталогах: [Системный диск]/Users/[Ваш активный пользователь]/Local Settings/Temp - удалить все файлы [Системный диск]/Windows/Temp - удалить все файлы Данная процедура позволяет избавиться от ряда "блокировщиков" и вирусов. Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 18 июля, 2014 Автор Share Опубликовано 18 июля, 2014 @Мурзин Сергей, в качестве дополнительной меры по очистке ПК сделайте следующее: 1. Загрузитесь в безопасном режиме. 2. Удалите файлы в каталогах: [Системный диск]/Users/[Ваш активный пользователь]/Local Settings/Temp - удалить все файлы [Системный диск]/Windows/Temp - удалить все файлы Данная процедура позволяет избавиться от ряда "блокировщиков" и вирусов. да, я это делал. сначала руками, потом сиклинером, потом штатной очисткой диска. там нет ничего сиклинер нашел из приложений AVG но ничего не смог вычистить. потом с помощью регэдита я руками всё вычищал - не помогло Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_SO 267 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 @Мурзин Сергей, попробуйте jv16 powertools - чистка реестра. Ну и дождитесь рекомендаций консультанта по отчету. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 @Roman_SO, @kmscom, Вам напомнить правила раздела лечения вирусов? @kmscom, больше либеральничать я с Вами не буду @Мурзин Сергей, ClickAndMark удалите через Установку программ Remote Manipulator System, если сами не устанавливали, тоже Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\WINDOWS\TEMP\ofvtxabcdgd.exe',''); QuarantineFile('C:\WINDOWS\TEMP\Adobe\Reader_sl.exe',''); QuarantineFile('C:\RECYCLER\mscinet.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-67588413\61637xxe16.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-656713\656716.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-626641\zyclin6.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-626641\zyclin6.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-656713\656716.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-67588413\61637xxe16.exe','32'); DeleteFile('C:\RECYCLER\mscinet.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Security Firewall Manager','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6zx63xe16','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6z47666','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\675567816','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zyclin6','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6z4666','command'); DeleteFile('C:\WINDOWS\TEMP\ofvtxabcdgd.exe','32'); DeleteFile('C:\WINDOWS\TEMP\Adobe\Reader_sl.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftStCnt','command'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\ClickAndMark Update.job','32'); DeleteFile('C:\WINDOWS\Tasks\ClickAndMark_wd.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.Компьютер перезагрузится.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 18 июля, 2014 Автор Share Опубликовано 18 июля, 2014 ClickAndMark отсутствует в списке установленных программ (установка удаление программ) Remote Manipulator System в списке есть, но не удаляется - нет файла .msi хотя в programm files кое что осталось (видимо криво удалили) всё остальное сделал по инструкции, прошло без ошибок, логи создал не могу найти как их прекрепить Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 Перейдите в расширенный режим редактирования сообщений там будет кнопка для выбора и загрузки вложений. Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 18 июля, 2014 Автор Share Опубликовано 18 июля, 2014 спасибо. вот логи антивирус не установился CollectionLog-2014.07.19-00.27.zip MBAM лог.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июля, 2014 Share Опубликовано 18 июля, 2014 Поместите в карантин МВАМ только Registry Keys: 5 Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbam.exe, , [a8f9b6eadd9e1521e01cc3a5659ec937], Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbamgui.exe, , [61407927ef8cc76f3909c74c9e6501ff], Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [c9d8f8a890eb93a32fb9ce9cee153fc1], PUP.Optional.ClickNMark.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\click-n-mark, , [653cd8c8512a280edab5d00bea1803fd], PUP.Optional.ClickNMark.A, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\click-n-mark, , [bae7633da7d457df7a157368ac562bd5], Registry Values: 7 PUM.Bad.Proxy, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|ProxyServer, http=127.0.0.1:13828, , [a1003f619fdc6ec8a6b424f34eb6cd33] Worm.AutoRun, HKU\S-1-5-21-1844237615-1960408961-1177238915-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, explorer.exe,C:\RECYCLER\mscinet.exe, , [732ebae61b60fd39624b72e624df2cd4] Registry Data: 3 Hijack.StartPage, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://DreamLair.net, Good: (http://www.google.com), Bad: (http://DreamLair.net),,[920f0e928cefe5516c5f76290ef6a35d] Hijack.StartPage, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://DreamLair.net, Good: (http://www.google.com), Bad: (http://DreamLair.net),,[049d841cdd9ecb6b54783d62b4503fc1] Hijack.Shell, HKU\S-1-5-21-1844237615-1960408961-1177238915-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, explorer.exe,C:\RECYCLER\mscinet.exe, Good: (Explorer.exe), Bad: (explorer.exe,C:\RECYCLER\mscinet.exe),,[5d442f716a1122148c5f8e1450b406fa] Folders: 3 PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp, , [dec3940cb5c685b12e0a7435e919ad53], Files: 23 Trojan.Downloader, C:\Documents and Settings\Admin\Application Data\9.exe, , [663b881889f2fd39e5f7f81f08fb16ea], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\b.html, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\b.js, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\c.js, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon128.png, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon16.png, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon48.png, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\manifest.json, , [4859722e8bf0bb7b8aed6344f2108e72], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.crx, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.dat, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.xpi, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\a.db, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\b.db, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.bin, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.dll, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.ini, , [dec3940cb5c685b12e0a7435e919ad53], PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\Sqlite3.dll, , [dec3940cb5c685b12e0a7435e919ad53], Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 как это сделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584 Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 сделал, только почему-то после сканирования не все объекты отобразились. в вашем списке больше. какие нашел - в карантин, остальные игнорировал. после применения сделал лог - прикрепил. проблема не устранилась. MBAM лог3.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.