Scorned Опубликовано 9 мая, 2015 Опубликовано 9 мая, 2015 Проблема очень схожа с https://forum.kasperskyclub.ru/index.php?showtopic=46099 Компьютер стал сам запускать браузер и открывать сайт bizigames.org при загрузке Windows. В msconfig нашелся процесс в Автозагрузке - "Операционная система Windows - cmd.exe /c start http://zenigameblinger.org&& exit" (скрин в атаче). Процесс отключил, сайт перестал открываться. Выяснилось что путь к этой команде в реестре я удалить не могу, потому что команда regedit перестала работать. AVZ, Ccleaner так же не запускаются. Переименовал AVZ, запустил, просканировал, он ничего не смог найти. Просканировал так же утилитой Dr.Web Cure it - нашел несколько "вредоносных" приложений, но я почти уверен что это не все. Просканировал последним Касперским - вообще ничего не нашел, 0. Установил утилиту Reg Organizer, она нашла ошибки, сделал много исправлений каких-то. Проверил путь к той команде запускать сайт - его уже не оказалось в реестре. Так же пробовал с помощью AVZ сделать восстановление работоспособности реестра. Не помогло. В итоге не работает реестр, Ccleaner, AVZ, хотя вроде бы все окей должно быть. Auto Logger конечно же тоже отказался запускаться, но "специальная версия сработала". Логи в атаче. Не хотелось бы переустанавливать систему сейчас, но планирую переустановить на лицензионный Windows 7 обязательно может через месяц. Подскажите как побороть эту проблему и есть ли риск для системы. Спасибо за помощь! CollectionLog-2015.05.09-14.57.zip
thyrex Опубликовано 9 мая, 2015 Опубликовано 9 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe',''); QuarantineFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe',''); QuarantineFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам 1 1
Scorned Опубликовано 9 мая, 2015 Автор Опубликовано 9 мая, 2015 Выполнил указанные скрипты. Получил ответ: Re: http://forum.kasperskyclub.ru/index.php?showtopic=46273 [KLAN-2748719985] Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.quarantine.zipThis file is corrupted.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Логи в атаче. Спасибо. CollectionLog-2015.05.10-02.53.zip
thyrex Опубликовано 10 мая, 2015 Опубликовано 10 мая, 2015 Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) Проблема решена? 1
Scorned Опубликовано 11 мая, 2015 Автор Опубликовано 11 мая, 2015 Пофиксил строки. Да, все запускается, работает абсолютно нормально. Спасибо большое за помощь!
mike 1 Опубликовано 12 мая, 2015 Опубликовано 12 мая, 2015 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
thyrex Опубликовано 16 августа, 2015 Опубликовано 16 августа, 2015 @Sany, создавайте свою тему, а не встревайте в чужую
mike 1 Опубликовано 23 декабря, 2016 Опубликовано 23 декабря, 2016 [KLAN-5559377222][/size]Для вас тоже актуально 8 сообщение.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти