robixl Опубликовано 20 февраля, 2015 Опубликовано 20 февраля, 2015 Скачал на свою беду вредоносный файл, после чего в гугл хроме поиск по умолчанию изменился на "yamdex.net".Через настройки не меняется никак, т.к. поставлен якобы "от администратора". Ничего уже не могу поделать, пару часов мучаюсь. Удалил все похожие записи с реестра, не помогло. Помогите пожалуйста =)
mike 1 Опубликовано 20 февраля, 2015 Опубликовано 20 февраля, 2015 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила оказания помощи. 1
robixl Опубликовано 20 февраля, 2015 Автор Опубликовано 20 февраля, 2015 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила оказания помощи. Прошу прощения. Сделал как всё написано в топике. Прикрепляю логи CollectionLog-2015.02.21-03.41.zip
Roman_Five Опубликовано 21 февраля, 2015 Опубликовано 21 февраля, 2015 C:\Documents and Settings\Admin\Рабочий стол\экзорцизм\AutoLogger\ Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('newdriver', 4); SetServiceStart('iSafeKrnlR3', 4); SetServiceStart('iSafeKrnlMon', 4); SetServiceStart('iSafeKrnlKit', 4); SetServiceStart('iSafeKrnlBoot', 4); SetServiceStart('iSafeKrnl', 4); StopService('iSafeKrnl'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\chrome.bat',''); QuarantineFile('C:\WINDOWS\dkgol.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys',''); QuarantineFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\B9127067.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\72365112.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\iSafeNetFilter.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\iSafeKrnlBoot.sys',''); QuarantineFile('C:\Program Files\Elex-tech\*',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Elex-tech\*',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\eCyber\*',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\Program Files\unins000.bat.exe',''); QuarantineFile('C:\Program Files\unins000.bat',''); QuarantineFile('C:\opera.bat',''); QuarantineFile('C:\firefox.bat',''); QuarantineFile('C:\Program Files\Launcher.bat.exe',''); QuarantineFile('C:\Program Files\Launcher.bat',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\ProductData\*',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\ProductData\*',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}\*',''); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\iSafeNetFilter.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','32'); DeleteFile('C:\WINDOWS\SystemRoot\System32\Drivers\sptd.sys','32'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\iSafeKrnlBoot.sys','32'); DeleteFile('C:\WINDOWS\dkgol.sys','32'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\chrome.bat','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\firefox.bat','32'); DeleteFile('C:\opera.bat','32'); DeleteFile(' C:\WINDOWS\system32\drivers\iSafeNetFilter.sys','32'); DeleteFile(' C:\WINDOWS\system32\drivers\iSafeKrnlBoot.sys','32'); DeleteFile(' C:\Program Files\unins000.bat.exe','32'); DeleteFile(' C:\Program Files\unins000.bat','32'); DeleteFile(' C:\Program Files\Launcher.bat.exe','32'); DeleteFile(' C:\Program Files\Launcher.bat','32'); DeleteService('newdriver'); DeleteService('iSafeKrnlR3'); DeleteService('iSafeKrnlMon'); DeleteService('iSafeKrnlKit'); DeleteService('iSafeKrnlBoot'); DeleteService('iSafeKrnl'); DeleteFileMask(' C:\Program Files\Elex-tech\','*', true, ''); DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\Elex-tech\','*', true, ''); DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\eCyber\','*', true, ''); DeleteDirectory('C:\Program Files\Elex-tech\ ',' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Elex-tech\',' '); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\eCyber\',' '); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('iSafeKrnl'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O13 - DefaultPrefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 O17 - HKLM\System\CS4\Services\Tcpip\..\{104433FB-FAB3-41DE-AA21-B231EB9FF2ED}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 O20 - Winlogon Notify: RWLN - RWLN.dll (file missing) Сделайте новые логи по правилам (только пункт 3). 1
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 вроде все сделал ответ с почты тоже в текстовом документе ClearLNK-21.02.2015_16-07.log ответ с почты.txt CollectionLog-2015.02.21-17.38.zip
mike 1 Опубликовано 21 февраля, 2015 Опубликовано 21 февраля, 2015 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 Я в программе Clean не нажимал. Надо было или нет? AdwCleanerR0.txt
mike 1 Опубликовано 21 февраля, 2015 Опубликовано 21 февраля, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. отчет с AutoLogger или с AdwCleaner ? вот лог , который вылез после очистки и перезапуска ПК Поиск всё ещё стоит по умолчанию , назначенный администратором. AdwCleanerS1.txt
mike 1 Опубликовано 21 февраля, 2015 Опубликовано 21 февраля, 2015 Поиск всё ещё стоит по умолчанию , назначенный администратором. Да, я знаю. Это пока я еще не правил. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 не понял какой именно отчет прикреплять. Прикрепляю оба =) Addition.txt FRST.txt
mike 1 Опубликовано 21 февраля, 2015 Опубликовано 21 февраля, 2015 Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. fixlist.txt 1
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 поиск стад google вроде тот файл прикрепил. Просто у меня на рабочем столе прога была, без папки Fixlog.txt
robixl Опубликовано 21 февраля, 2015 Автор Опубликовано 21 февраля, 2015 сменить гугл конечно нельзя но мне и не надо! Я только гуглом пользуюсь!Вы мне очень очень помогли!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти