Перейти к содержанию

Реклама на страницах сайта


Рекомендуемые сообщения

 

Running from: c:\documents and settings\Ogm2.MASHBREST\¦рсюўшщ ёЄюы\ComboFix.exe

Command switches used :: c:\documents and settings\Ogm2.MASHBREST\¦рсюўшщ ёЄюы\CFScript.txt
 

Просили кажется Combofix и файл со скриптом сохранить на диск С! 

Ссылка на комментарий
Поделиться на другие сайты

Ну вот, опять где-то Kido поймали. Обновления все ставили на Windows XP? 

 

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
KillAll::
 
File::
c:\windows\system32\gkwcm.dll
 
Driver::
txqmdk
tyogd
 
NetSvc::
tyogd
txqmdk
 
Folder::
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\txqmdk]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tyogd]

FileLook::
 
DirLook::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
5315621m.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
Ссылка на комментарий
Поделиться на другие сайты

http://rghost.ru/private/7sSMwKRL4/5f05b3ce511c7679fc65e21770b0f4e5 - ComboFix.txt

Обновления стоят, а если кидо был удален, то почему не могу до сих пор запустить KAV15 - уже несколько раз ее переустанавливал, а она не хочет запускаться. Значит кидо до сих пор не удален, да и на антивирусные сайты не могу зайти и на ваш форум - захожу только через анонимайзер. Теоретически может и удален кидо, а на практике он хорошо устроился на компьютере и никакие скрипты и программы по удалению его ему не страшны. Может я не прав, может надо немножко терпения, чтобы удалить эту гадость с компьютера и решить проблему с рекламой.

Этот компьютер на работе и все компьютеры находится в локальной сети.

Изменено пользователем Vob
Ссылка на комментарий
Поделиться на другие сайты

запустите 2 копии утилиты KidoKiller  на компьютере:
1- просто в проводнике
2- с ключом -m (для мониторинга)
проще это сделать через пуск - выполнить

C:\kidokiller.exe -m

не закрывая вторую копию - ставьте антивирус.

отпишитесь о результате.


 

 


Теоретически может и удален кидо, а на практике он хорошо устроился на компьютере

ответьте на вопрос:

 

 


Обновления все ставили на Windows XP? 
Ссылка на комментарий
Поделиться на другие сайты

"не закрывая вторую копию - ставьте антивирус."

 

Не запускается - даже скриншот сделал:

 

http://savepic.su/5102531.jpg

 

"ответьте на вопрос:

Обновления все ставили на Windows XP?"

 

Страница 2:

"Наконец-то разобрался, скачал и установил следующие обновления:

 

KB958644 – MS08-067

 

KB957097 – MS08-068

 

KB958687 – MS09-001"

Изменено пользователем Vob
Ссылка на комментарий
Поделиться на другие сайты

"Наконец-то разобрался, скачал и установил следующие обновления:

О боже, это просили сделать еще на 2 странице!

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
KillAll::
 
File::
c:\windows\system32\gkwcm.dll
 
Driver::
dyfaefle
 
NetSvc::
dyfaefle
 
Folder::
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\dyfaefle]
 
FileLook::
 
DirLook::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
5315621m.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
Ссылка на комментарий
Поделиться на другие сайты

 

 


Не запускается - даже скриншот сделал:

я бы очень сильно удивился, если бы запустился.

после выполнения последних рекомендаций mike 1 удалите штатно антивирус.
затем в обычном режиме запустите утилиту. если найдёт что-то - удалите. если нет - выберите "удалить все продукты"

затем её же в безопасном. 
выберите "удалить все продукты"

Утилита удаления продуктов Лаборатории Касперского (kavremover) - http://support.kaspersky.ru/common/service

 

 


до сих пор не пускает на форум без анонимайзера? зачем файлы на внешнем ресурсе?

+

деинсталлируйте
MBAM, Emsisoft *, Lavasoft *, Trend Micro *, 

а также удалите или проверьте, что удалилось:

2015-02-18 11:25 . 2015-02-18 13:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2015-02-18 11:25 . 2015-02-18 11:25 -------- d-----w- c:\program files\Kaspersky Lab
2015-02-18 11:24 . 2014-12-03 04:51 116744 ----a-w- c:\windows\system32\drivers\klflt.sys
2015-02-18 11:24 . 2014-08-12 15:32 36024 ----a-w- c:\windows\system32\drivers\klhk.sys
2015-02-16 09:06 . 2015-02-16 09:06 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2015-02-09 05:26 . 2015-02-09 05:26 -------- d-----w- c:\program files\trend micro
2015-02-03 06:54 . 2015-02-03 06:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Emsisoft
2015-02-02 13:27 . 2015-02-02 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2015-02-02 13:26 . 2014-11-21 04:14 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2015-02-02 13:26 . 2014-11-21 04:14 54360 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2015-02-02 13:26 . 2014-11-21 04:14 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2015-01-26 11:10 . 2015-01-26 11:10 -------- d-----w- c:\documents and settings\Ogm2.MASHBREST\Application Data\Lavasoft
2015-01-26 11:09 . 2015-01-26 11:09 -------- d-----w- c:\program files\Lavasoft
2015-01-26 05:58 . 2015-01-26 05:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Doctor Web
2015-01-26 05:54 . 2015-01-26 06:09 -------- d-----w- c:\documents and settings\Ogm2.MASHBREST\Doctor Web


2015-02-16 11:04 . 2013-03-05 13:22 114904 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys


c:\windows\system32\drivers\AVGIDSEH.sys [13.09.2010 16:27 25680]
c:\windows\system32\drivers\cm_km_w.sys [14.01.2013 20:10 189136]
c:\windows\system32\drivers\klhk.sys [18.02.2015 13:24 36024]
c:\windows\system32\drivers\klpd.sys [12.04.2013 14:34 14432]
c:\windows\system32\drivers\kltdf.sys [21.08.2014 14:39 60552]
c:\windows\system32\drivers\kltdi.sys [05.06.2014 18:02 44992]
c:\windows\system32\drivers\kneps.sys [09.07.2014 15:23 146240]
c:\windows\system32\drivers\kldisk.sys [02.07.2014 15:10 36928]
c:\program files\Malwarebytes Anti-Malware\mbamscheduler.exe [16.02.2015 11:06 1871160]
c:\windows\system32\drivers\klflt.sys [18.02.2015 13:24 116744]
c:\windows\system32\drivers\klim5.sys [19.04.2013 10:44 36448]
c:\windows\system32\drivers\klkbdflt.sys [28.03.2014 16:51 23648]
c:\windows\system32\drivers\klmouflt.sys [08.08.2013 16:11 24672]
c:\windows\system32\drivers\mbam.sys [02.02.2015 15:26 23256]
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 15.0.1\avp.exe [30.08.2014 16:48 234520]
c:\program files\Malwarebytes Anti-Malware\mbamservice.exe [16.02.2015 11:06 969016]
 
 
что не удаляется в обычном режиме - удалите в безопасном!

+

после всего этого - новые логи по правилам + лог GSI
обратите внимание - после всех рекомендаций. 
не выполните - ответа не будет.

Ссылка на комментарий
Поделиться на другие сайты

1.Что такое GSI ?

 

2. Так что, все по новому начинать? Чистить компьютер, запускать по новому курелт, автологгер.

Изменено пользователем Vob
Ссылка на комментарий
Поделиться на другие сайты

 

зачем файлы на внешнем ресурсе?

Я что-то не понимаю, а какие у меня файлы на внешнем ресурсе? Объясните, пожалуйста.

Я так понимаю, что есть внутренние и внешние ресурсы:

внутренние ресурсы - это ресурсы провайдера, твоей локальной сети, а внешние ресурсы - это веб.

Так какие у меня файлы на внешнем ресурсе? Не понимаю. Объясните.

 

 

Изменено пользователем Vob
Ссылка на комментарий
Поделиться на другие сайты

"почему не прикрепляете логи прямо к ответу на форуме? зачем файлообменники? "

 

Я уже писал - не могу зайти на ваш форум - только через анонимайзер. При заходе на ваш форум через анониимайзер кнопка: ПРИКРЕПИТЬ ФАЙЛЫ не работает.

Изменено пользователем Vob
Ссылка на комментарий
Поделиться на другие сайты

 

 


долго будете игнорировать рекомендации?

не будет логов - закрою тему.
развели демагогию на 4 страницы.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Couita
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • Хасан Абдурахман
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Михаил Ш.
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • setwolk
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
    • KL FC Bot
      Автор KL FC Bot
      За X (ex-Twitter) уже давно и прочно закрепилась слава основного источника криптоскама, который активно продвигается в соцсети от лица взломанных или фейковых аккаунтов знаменитостей и крупных компаний. Тем временем платформы Instagram*, Facebook* и WhatsApp, принадлежащие вездесущей Meta**, зарабатывают похожую репутацию в другой категории — инвестиционного мошенничества с дипфейками.
      Преступники активно используют ИИ-инструменты для создания поддельных видео с людьми, которые обладают репутацией в финансовой сфере, — от известных экономистов и телеведущих до глав правительств. Затем злоумышленники продвигают такие видео в соцсетях с помощью рекламы. В этом посте рассказываем, как устроены эти схемы, куда попадают жертвы после просмотра таких видео, какую роль в них играет WhatsApp — и как не попасться на удочку мошенников.
      Instagram*, дипфейки и WhatsApp: инвестиционное мошенничество в Канаде
      Чтобы разобраться в том, как это все работает, мы начнем с недавней мошеннической кампании, нацеленной на клиентов канадских банков. В качестве первого шага злоумышленники запустили рекламу в Instagram* от имени BMO Belski.
      Аббревиатура BMO использована осознанно: у пользователей из Канады она устойчиво ассоциируется со старейшим банком страны, Bank of Montreal (Банк Монреаля). Упоминание фамилии Бельски также неслучайно: Брайан Бельски является главным инвестиционным стратегом BMO и руководителем группы инвестиционной стратегии банка.
      В рекламе от лица BMO Belski демонстрируются сгенерированные ИИ дипфейк‑видео с участием самого Бельски, в которых пользователям предлагают присоединиться к «приватной инвестиционной группе в WhatsApp». Расчет преступников состоит в том, что невнимательный канадский пользователь поверит в то, что ему предлагают получить достоверные финансовые и инвестиционные рекомендации от признанного эксперта, — и побежит общаться с мошенниками в WhatsApp.
      Так выглядит реклама мошеннического инвестиционного клуба с дипфейком Брайана Бельски в Instagram*: пользователей убеждают присоединиться к приватной группе в WhatsApp. Источник
      Интересная деталь — у аккаунта BMO Belski, распространявшего эту рекламу в Instagram*, вообще не было профиля в этой социальной сети. Реклама запускалась через страницу BMO Belski в Facebook* — компания Meta**, владеющая обеими социальными сетями, позволяет запускать рекламу в Instagram*, используя только бизнес‑страницу в Facebook*, без необходимости создавать отдельный аккаунт в Instagram*.
       
      View the full article
×
×
  • Создать...