Scorned 0 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Проблема очень схожа с https://forum.kasperskyclub.ru/index.php?showtopic=46099 Компьютер стал сам запускать браузер и открывать сайт bizigames.org при загрузке Windows. В msconfig нашелся процесс в Автозагрузке - "Операционная система Windows - cmd.exe /c start http://zenigameblinger.org&& exit" (скрин в атаче). Процесс отключил, сайт перестал открываться. Выяснилось что путь к этой команде в реестре я удалить не могу, потому что команда regedit перестала работать. AVZ, Ccleaner так же не запускаются. Переименовал AVZ, запустил, просканировал, он ничего не смог найти. Просканировал так же утилитой Dr.Web Cure it - нашел несколько "вредоносных" приложений, но я почти уверен что это не все. Просканировал последним Касперским - вообще ничего не нашел, 0. Установил утилиту Reg Organizer, она нашла ошибки, сделал много исправлений каких-то. Проверил путь к той команде запускать сайт - его уже не оказалось в реестре. Так же пробовал с помощью AVZ сделать восстановление работоспособности реестра. Не помогло. В итоге не работает реестр, Ccleaner, AVZ, хотя вроде бы все окей должно быть. Auto Logger конечно же тоже отказался запускаться, но "специальная версия сработала". Логи в атаче. Не хотелось бы переустанавливать систему сейчас, но планирую переустановить на лицензионный Windows 7 обязательно может через месяц. Подскажите как побороть эту проблему и есть ли риск для системы. Спасибо за помощь! CollectionLog-2015.05.09-14.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 9 мая, 2015 Share Опубликовано 9 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe',''); QuarantineFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe',''); QuarantineFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Red Alert 3\AdCache\googleupd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Total War Rome 2\AdobeFlashPlayerUpdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayer-S-1-2-1298-9822','64'); DeleteFile('C:\Users\Blackened\AppData\Roaming\Youtube Downloader HD\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Scorned 0 Опубликовано 9 мая, 2015 Автор Share Опубликовано 9 мая, 2015 Выполнил указанные скрипты. Получил ответ: Re: http://forum.kasperskyclub.ru/index.php?showtopic=46273 [KLAN-2748719985] Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.quarantine.zipThis file is corrupted.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Логи в атаче. Спасибо. CollectionLog-2015.05.10-02.53.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 мая, 2015 Share Опубликовано 10 мая, 2015 Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) Проблема решена? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Scorned 0 Опубликовано 11 мая, 2015 Автор Share Опубликовано 11 мая, 2015 Пофиксил строки. Да, все запускается, работает абсолютно нормально. Спасибо большое за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 мая, 2015 Share Опубликовано 12 мая, 2015 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sany 0 Опубликовано 16 августа, 2015 Share Опубликовано 16 августа, 2015 Re: [KLAN-3056765578] Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 августа, 2015 Share Опубликовано 16 августа, 2015 @Sany, создавайте свою тему, а не встревайте в чужую Цитата Ссылка на сообщение Поделиться на другие сайты
Олжас Шынтас 0 Опубликовано 23 декабря, 2016 Share Опубликовано 23 декабря, 2016 [KLAN-5559377222] Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 декабря, 2016 Share Опубликовано 23 декабря, 2016 [KLAN-5559377222][/size]Для вас тоже актуально 8 сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.