Alex39rus 0 Опубликовано 7 мая, 2015 Share Опубликовано 7 мая, 2015 (изменено) Добрый день! После скачивания exe-установщика бесплатной программы (и его запуска) на ноутбук автоматически установились несколько программ (какой-то китайский tencent и еще штуки четыре левых прог). Я их все удалил через панель управления. Затем прогнал drweb cureit, Hitman Pro и Malwarebytes Antimalware - нашлось несколько троянов, но после их лечения проблема не исчезла. Суть проблемы: ярлык исполняемого файла любого браузера заменяется автоматически на вот такое (на примере Хрома): "C:\Program Files (x86)\Google\chrome.bat" И теперь при открытии любого браузера сразу грузится вот это гадство, после него еще каких-то пара левых сайтов в этом же окне, ну и в итоге - vezunchik.club. Выполнил AutoLogger.exe, zip-архив лога прикрепляю CollectionLog-2015.05.07-15.49.zip Изменено 7 мая, 2015 пользователем Alex39rus Ожидаем прикрепление zip. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 мая, 2015 Share Опубликовано 7 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\punto.bat',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\punto.bat','32'); DeleteFile('C:\iexplore.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
Alex39rus 0 Опубликовано 7 мая, 2015 Автор Share Опубликовано 7 мая, 2015 Скрипты выполнил. Новые логи прикрепляю ClearLNK-07.05.2015_16-56.log CollectionLog-2015.05.07-17.14.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 7 мая, 2015 Share Опубликовано 7 мая, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Alex39rus 0 Опубликовано 7 мая, 2015 Автор Share Опубликовано 7 мая, 2015 (изменено) Ответ от Лаборатории Касперского пока только такой: Re: [KLAN-2742075734] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.punto.batПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского Прикрепляю логи FRST.txt Addition.txt Изменено 7 мая, 2015 пользователем Alex39rus Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 8 мая, 2015 Share Опубликовано 8 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14] 2015-05-07 12:15 - 2015-05-07 12:15 - 00000000 ____D () C:\Program Files\Common Files\Tencent 2015-05-07 12:14 - 2015-05-07 12:14 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys 2015-05-07 12:13 - 2015-05-07 12:13 - 00000000 ____D () C:\Program Files (x86)\Tencent 2015-05-07 12:09 - 2015-05-07 12:09 - 00000118 ____H () C:\Program Files (x86)\WelcomeToPunto.bat 2015-05-07 12:09 - 2015-05-07 12:09 - 00000117 ____H () C:\Program Files (x86)\layouts.bat 2015-05-07 12:09 - 2015-05-07 12:09 - 00000115 ____H () C:\Program Files (x86)\diary.bat 2015-05-07 12:09 - 2015-05-07 12:09 - 00000112 ____H () C:\Program Files (x86)\ps.bat 2015-05-07 12:09 - 2015-05-07 12:09 - 00000000 ____D () C:\Program Files (x86)\Application Assistance 2015-05-07 12:09 - 2015-02-04 13:35 - 01626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe 2015-05-07 12:09 - 2015-02-04 13:35 - 00291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe 2015-05-07 12:09 - 2015-02-04 13:35 - 00034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.