Перейти к содержанию

HEUR:Trojan.Win32.Generic


Duxxan

Рекомендуемые сообщения

Касперский находит вирус, удаляет, он опять появляется. браузер начал запускаться после командной строки, много рекламы на любых сайтах, даже там где ее быть не должно впринципе. Так же установились левые программы и запускается. Все живет своей жизнью. =)

CollectionLog-2015.04.17-01.12.zip

Изменено пользователем Duxxan
Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DelBHO('{6CE6A801-31B6-75E1-B013-3091FBE8886B}');
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 QuarantineFile('C:\Users\Duxxan\AppData\Local\8083BFA4-1429034272-E011-BB7D-1078D2D5A83A\bnssAEA7.exe','');
 QuarantineFile('C:\ProgramData\{4452b97c-d4ef-b3b6-4452-2b97cd4ee5f3}\hqghumeaylnlf.exe','');
 QuarantineFile('C:\ProgramData\PAJ\PAJ.exe','');
 StopService('webTinstMKTN');
 StopService('iSafeNetFilter');
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlMon');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 StopService('innfd_1_10_0_14');
 StopService('hjlkfdajklfed3dfa');
 DeleteService('iSafeKrnlBoot');
 DeleteService('webTinstMKTN');
 DeleteService('iSafeNetFilter');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnl');
 DeleteService('innfd_1_10_0_14');
 DeleteService('hjlkfdajklfed3dfa');
 StopService('PicexaService');
 DeleteService('PicexaService');
 StopService('IHProtect Service');
 StopService('insvc_1.10.0.14');
 DeleteService('IHProtect Service');
 DeleteService('Update NetCrawl');
 DeleteService('insvc_1.10.0.14');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 TerminateProcessByName('c:\programdata\timetasks\timetasks.exe');
 QuarantineFile('c:\programdata\timetasks\timetasks.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
 QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
 TerminateProcessByName('c:\program files (x86)\picexa\picexasvc.exe');
 QuarantineFile('c:\program files (x86)\picexa\picexasvc.exe','');
 TerminateProcessByName('c:\programdata\paj\paj.exe');
 QuarantineFile('c:\programdata\paj\paj.exe','');
 TerminateProcessByName('c:\users\duxxan\appdata\local\kometa\kometaup.exe');
 QuarantineFile('c:\users\duxxan\appdata\local\kometa\kometaup.exe','');
 TerminateProcessByName('c:\users\duxxan\appdata\local\kometa\panel\kometalaunchpanel.exe');
 QuarantineFile('c:\users\duxxan\appdata\local\kometa\panel\kometalaunchpanel.exe','');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
 QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
 TerminateProcessByName('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe');
 QuarantineFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe','');
 DeleteFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
 DeleteFile('c:\users\duxxan\appdata\local\kometa\panel\kometalaunchpanel.exe','32');
 DeleteFile('c:\users\duxxan\appdata\local\kometa\kometaup.exe','32');
 DeleteFile('c:\programdata\paj\paj.exe','32');
 DeleteFile('c:\program files (x86)\picexa\picexasvc.exe','32');
 DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
 DeleteFile('c:\programdata\timetasks\timetasks.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe','32');
 DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32');
 DeleteFile('C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Picexa\PicexaSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\SupTab\cfgdrv64.cfg','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\webTinstMKTN.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\iSafeKrnlBoot.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 DeleteFile('C:\ProgramData\PAJ\PAJ.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PAJ Start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\{4452b97c-d4ef-b3b6-4452-2b97cd4ee5f3}\hqghumeaylnlf.exe','32');
 DeleteFile('C:\Users\Duxxan\AppData\Local\8083BFA4-1429034272-E011-BB7D-1078D2D5A83A\bnssAEA7.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update');
 DeleteFile('C:\Users\Duxxan\AppData\Roaming\eTranslator\eTranslator.exe','32');
 DeleteFile('C:\Windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-5.job','64');
 DeleteFile('C:\Windows\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-5_user.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','64');
 DeleteFile('C:\Windows\system32\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-5','64');
 DeleteFile('C:\Windows\system32\Tasks\35e41b31-ebc0-4e1d-b715-bdcc1f8fba4e-5_user','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\Super Optimizer Schedule','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

KLAN-2692571120

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

bnssAEA7.exe,
kometaup.exe

Вредоносный код в файлах не обнаружен.

hqghumeaylnlf.exe,
insvc.exe,
isafetray.exe,
kometalaunchpanel.exe,
picexasvc.exe,
protectservice.exe,
timetasks.exe,
zaxargamebrowser.exe,
zaxarloader.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

PAJ.exe - not-a-virus:Monitor.Win32.Ardamax.dtg

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

 

ClearLNK-17.04.2015_19-00.log

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2947826370-1506388354-3278635718-1000\...\RunOnce: [ClearTemp] => del C:\Users\Duxxan\AppData\Local\Temp\yupdate.exe-{E4B28F7C-AE8E-4C39-936D-A4EFCC7E7A07} <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2947826370-1506388354-3278635718-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW
HKU\S-1-5-21-2947826370-1506388354-3278635718-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1429013556&from=face&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> B44FAA0A7A325C369AFB282066FB8AC8 URL = http://www.delta-homes.com/web/?utm_source=b&utm_medium=wpm040731&utm_campaign=install_ie&utm_content=ds&from=wpm040731&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&ts=1428392911&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.delta-homes.com/web/?utm_source=b&utm_medium=wpm040731&utm_campaign=install_ie&utm_content=ds&from=wpm040731&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&ts=1428392911&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.delta-homes.com/web/?utm_source=b&utm_medium=wpm040731&utm_campaign=install_ie&utm_content=ds&from=wpm040731&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&ts=1428392911&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.delta-homes.com/web/?utm_source=b&utm_medium=wpm040731&utm_campaign=install_ie&utm_content=ds&from=wpm040731&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&ts=1428392911&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.delta-homes.com/web/?utm_source=b&utm_medium=wpm040731&utm_campaign=install_ie&utm_content=ds&from=wpm040731&uid=ST31000524AS_9VPDTCEWXXXX9VPDTCEW&ts=1428392911&type=default&q={searchTerms}
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
Toolbar: HKU\S-1-5-21-2947826370-1506388354-3278635718-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF DefaultSearchEngine: webssearches
FF SelectedSearchEngine: webssearches
FF SearchPlugin: C:\Users\Duxxan\AppData\Roaming\Mozilla\Firefox\Profiles\f1jkq5nz.default\searchplugins\webssearches.xml [2015-04-17]
FF Extension: Универсальный перевод для FireFox - C:\ProgramData\Kaspersky Lab\SafeBrowser\S-1-5-21-2947826370-1506388354-3278635718-1000\FireFox\Extensions\translator@zoli.bod [2015-04-14]
FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Duxxan\AppData\Roaming\Mozilla\Firefox\Profiles\f1jkq5nz.default\extensions\quick_searchff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Duxxan\AppData\Roaming\Mozilla\Firefox\Profiles\f1jkq5nz.default\extensions\sweetsearch@gmail.com
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Duxxan\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2015-04-09]
CHR Extension: (Универсальный перевод для Chrome) - C:\Users\Duxxan\AppData\Local\Google\Chrome\User Data\Default\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2015-04-14]
CHR Extension: (No Name) - C:\Users\Duxxan\AppData\Local\Google\Chrome\User Data\Default\Extensions\lnpjfdghgjljpamcchbdgdahogkeldlm [2015-04-14]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\Duxxan\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-10-01]
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Duxxan\AppData\Roaming\Opera Software\Opera Stable\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2015-04-14]
S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X]
S1 iSafeKrnlMon; \?\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
2015-04-15 19:48 - 2015-04-17 17:51 - 00000000 ____D () C:\Users\Все пользователи\{4452b97c-d4ef-b3b6-4452-2b97cd4ee5f3}
2015-04-15 19:48 - 2015-04-17 17:51 - 00000000 ____D () C:\ProgramData\{4452b97c-d4ef-b3b6-4452-2b97cd4ee5f3}
2015-04-15 17:11 - 2015-04-15 17:11 - 00613255 _____ (CMI Limited) C:\Users\Duxxan\AppData\Local\nskE37F.tmp
2015-04-14 18:26 - 2015-04-14 18:26 - 00613255 _____ (CMI Limited) C:\Users\Duxxan\AppData\Local\nso7169.tmp
2015-04-14 18:25 - 2015-04-14 18:25 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf
2015-04-14 18:13 - 2015-04-15 18:20 - 00000000 ____D () C:\Users\Duxxan\AppData\Local\8083BFA4-1429035209-E011-BB7D-1078D2D5A83A
2015-04-14 18:00 - 2015-04-15 19:29 - 00000000 ____D () C:\Users\Duxxan\AppData\Local\8083BFA4-1429034426-E011-BB7D-1078D2D5A83A
2015-04-14 18:00 - 2015-04-15 19:29 - 00000000 ____D () C:\Users\Duxxan\AppData\Local\8083BFA4-1429034410-E011-BB7D-1078D2D5A83A
2015-04-14 17:57 - 2015-04-17 17:51 - 00000000 ____D () C:\Users\Duxxan\AppData\Local\8083BFA4-1429034272-E011-BB7D-1078D2D5A83A
2015-04-14 17:57 - 2015-04-15 19:31 - 00000000 ____D () C:\Users\Duxxan\AppData\Roaming\8083BFA4-1429012626-E011-BB7D-1078D2D5A83A
2015-04-15 17:11 - 2015-04-15 17:11 - 0613255 _____ (CMI Limited) C:\Users\Duxxan\AppData\Local\nskE37F.tmp
2015-04-14 18:26 - 2015-04-14 18:26 - 0613255 _____ (CMI Limited) C:\Users\Duxxan\AppData\Local\nso7169.tmp
2014-01-09 15:19 - 2014-01-09 15:19 - 0005033 _____ () C:\ProgramData\mtbjfghn.xbe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Public\Desktop\Counter-Strike: Global Offensive.lnk
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте DelFix и сохраните утилиту на Рабочем столе
  • Запустите DelFix

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
  • Нажмите на кнопку Run
  • После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
  • Прикрепите этот отчет в вашей теме.
 
 

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
 

 

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

Обновите:

 

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2013-12-11 18:20:59
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security
Антивирус обновлен
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (включен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security 2013 v.13.0.1.4190 - обновите до версии 15.0.2.361
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.3.26
TeamViewer 9 v.9.0.26297
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 40 v.7.0.400 Внимание! Скачать обновления
Java Auto Updater v.2.1.9.8
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 17 ActiveX v.17.0.0.169
Adobe Flash Player 17 NPAPI v.17.0.0.169
Adobe Flash Player 17 PPAPI v.17.0.0.169
------------------------------- [ Browser ] -------------------------------
Google Chrome v.42.0.2311.135 [+]
Mozilla Firefox 37.0.2 (x86 ru) v.37.0.2
Opera 12.12 v.12.12.1707 Внимание! Скачать обновления
 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ГГеоргий
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Zafod
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Anton S
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • Sv1gL
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • Григ
      От Григ
      Сегодня ночью перезагрузились серверы, на каждом появился данный зверь. KVRT их нашел, но не удаляет 
×
×
  • Создать...