sokol19 Опубликовано 19 мая, 2015 Опубликовано 19 мая, 2015 Курит и KVRT не запускаются. в безопасном режиме смог установить Др.Веб. Инсталяция KIS зависала. В безопасном режиме смог запустить логер. Лог прилагаю. Да. Спасительные диски, что могли вычистили. Но кто-то явно еще живет. CollectionLog-2015.05.19-13.53.zip
mike 1 Опубликовано 19 мая, 2015 Опубликовано 19 мая, 2015 Логи нужны из обычного режима. Стандартная версия Автологгера в обычном режиме не запускается?
sokol19 Опубликовано 20 мая, 2015 Автор Опубликовано 20 мая, 2015 зависает на 2 шаге, после перезагрузки, со словами Поиск: Обратите внимание: в настройках IE задан прокси-сервер. циферки 180\0\0.
mike 1 Опубликовано 20 мая, 2015 Опубликовано 20 мая, 2015 Специальная версия Автологгера тоже зависает в обычном режиме?
sokol19 Опубликовано 21 мая, 2015 Автор Опубликовано 21 мая, 2015 вот. Оставил на ночь. CollectionLog-2015.05.20-12.57.zip
mike 1 Опубликовано 21 мая, 2015 Опубликовано 21 мая, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\WINDOWS\system32\nethtsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\hfpapi.dll',''); DeleteService('Util PathMaxx'); DeleteService('Update PathMaxx'); DeleteService('SpeedCheck'); DeleteService('ServiceUpdater'); DeleteService('NetHttpService'); DeleteService('gyhilere'); DeleteFile('C:\Documents and Settings\виктор\Local Settings\Application Data\03000200-1429565234-0500-0006-000700080009\insn359.tmp','32'); DeleteFile('C:\WINDOWS\system32\nethtsrv.exe','32'); DeleteFile('C:\WINDOWS\system32\netupdsrv.exe','32'); DeleteFile('C:\Program Files\ver5SpeedCheck\c3Zz190.exe','32'); DeleteFile('C:\Program Files\PathMaxx\updatePathMaxx.exe','32'); DeleteFile('C:\Program Files\PathMaxx\bin\utilPathMaxx.exe','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\WINDOWS\Tasks\GA.job','32'); DeleteFile('C:\WINDOWS\Tasks\KWMPH.job','32'); DeleteFile('C:\WINDOWS\Tasks\ShopperPro.job','32'); DeleteFile('C:\WINDOWS\Tasks\ShopperProJSUpd.job','32'); DeleteFile('C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_313738343035333738372d3437415a556c2a3223346c41.job','32'); DeleteFile('C:\WINDOWS\system32\hfpapi.dll','32'); DeleteFile('C:\Program Files\shopperpro\shopperpro.exe','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32'); ExecuteSysClean; ExecuteRepair(22); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
sokol19 Опубликовано 22 мая, 2015 Автор Опубликовано 22 мая, 2015 (изменено) вирус активировался после перезагрузки. Перетаскивать ничего не дает. clearLNK не запускается. Думал может можно указать принудительно на файл. KLAN-2788436568 hfpapi.dll, nethtsrv.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. Запустил логер. он видимо прибил вирус. Его и clearLNK логи прицепил. ClearLNK-22.05.2015_11-12.log CollectionLog-2015.05.22-11.11.zip Изменено 22 мая, 2015 пользователем sokol19
sokol19 Опубликовано 25 мая, 2015 Автор Опубликовано 25 мая, 2015 (изменено) А теперь что? ждать пока Касперский расковыряет те два файла? AdwCleanerS0.txt Изменено 25 мая, 2015 пользователем sokol19
mike 1 Опубликовано 25 мая, 2015 Опубликовано 25 мая, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
sokol19 Опубликовано 29 мая, 2015 Автор Опубликовано 29 мая, 2015 (изменено) Вот запрошенные файлы и чем бы мне ие и мозилой почистить? или сбросить в состояние нового? Addition.txt FRST.txt Изменено 29 мая, 2015 пользователем sokol19
mike 1 Опубликовано 29 мая, 2015 Опубликовано 29 мая, 2015 Включите восстановление системы. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита: CreateRestorePoint: HKLM\...\Run: [gmsd_ru_171] => [X] HKU\S-1-5-21-1409082233-57989841-1417001333-1003\...\Run: [amigo] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1409082233-57989841-1417001333-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web/?type=dspp&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web/?type=dspp&q={searchTerms} HKU\S-1-5-21-1409082233-57989841-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1409082233-57989841-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web/?type=dspp&q={searchTerms} HKU\S-1-5-21-1409082233-57989841-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web/?type=dspp&q={searchTerms} HKU\S-1-5-21-1409082233-57989841-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp URLSearchHook: [S-1-5-21-1409082233-57989841-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKU\S-1-5-21-1409082233-57989841-1417001333-1003 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://searchsimple-a.akamaihd.net/?m=tab&affID=na" <======= ATTENTION SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.web/?type=dspp&q={searchTerms} FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-tab&type=pr__alt__ddc_dsssyctab_bd_com FF DefaultSearchEngine: Yahoo! Search FF SelectedSearchEngine: Yahoo! Search FF Homepage: hxxp://www.?type=hppppppppppppppppppppppppppppppppppppppppppppppppppppppppppp FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=pr__alt__ddc_dss_bd_com&p= FF NetworkProxy: "type", 0 FF Extension: Torrent Search - C:\Documents and Settings\виктор\Application Data\Mozilla\Firefox\Profiles\t2ln5dar.default\Extensions\{05EB6920-D8AD-4350-BEF1-4F7107F70431} [2015-03-21] CHR Extension: (NetFilterPRO) - C:\Documents and Settings\виктор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jchepaljijgokkoflakjioknkfolenbk [2015-05-12] CHR HKLM\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - No Path Or update_url value FF Extension: PathMaxx 1.0.1 - C:\Documents and Settings\виктор\Application Data\Mozilla\Firefox\Profiles\t2ln5dar.default\Extensions\{6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}.xpi [2015-03-21] S3 4F97C14806114108; \?\C:\DOCUME~1\9335~1\LOCALS~1\Temp\48F31725.sys [X] 2015-04-20 22:09 - 2015-04-20 22:09 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsz39F.tmp 2015-04-20 21:32 - 2015-04-20 21:32 - 00000000 ____D () C:\Documents and Settings\LocalService\Application Data\CCL 2015-04-19 13:36 - 2015-04-19 13:36 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsi443.tmp 2015-04-18 22:01 - 2015-04-18 22:00 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsi489.tmp 2015-04-18 19:38 - 2015-04-18 19:38 - 00000000 ____D () C:\Documents and Settings\виктор\Application Data\CCL 2015-04-18 19:32 - 2015-04-18 19:32 - 01562112 _____ (Cinema PlusV18.04) C:\Documents and Settings\виктор\Application Data\GA.exe 2015-04-18 19:27 - 2015-04-18 19:27 - 00000000 ____D () C:\Documents and Settings\виктор\Мои документы\Optimizer Pro 2015-04-17 16:49 - 2015-04-17 16:49 - 00000212 _____ () C:\Documents and Settings\виктор\Рабочий стол\Искать в Интернете.url 2015-03-26 23:14 - 2015-03-26 23:14 - 00004185 _____ () C:\Documents and Settings\виктор\Application Data\GA 2015-03-23 19:40 - 2015-03-23 19:40 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsg35E.tmp 2015-03-23 14:49 - 2015-03-23 14:49 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nst3B2.tmp 2015-03-21 23:12 - 2015-03-21 23:12 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsr3D7.tmp 2015-03-21 22:06 - 2015-03-21 22:06 - 00613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsy548.tmp 2015-03-21 21:17 - 2015-05-12 18:12 - 00000000 ____D () C:\Documents and Settings\виктор\Application Data\6257 2015-03-21 21:12 - 2015-05-14 15:33 - 00000000 ____D () C:\Documents and Settings\виктор\Application Data\03000200-1426957944-0500-0006-000700080009 2015-03-21 21:12 - 2015-05-02 19:45 - 00001068 __RSH () C:\Documents and Settings\All Users\ntuser.pol 2015-03-21 21:12 - 2015-03-21 21:12 - 00000000 ____D () C:\Program Files\Torrent Search 2015-03-21 21:10 - 2015-03-21 21:10 - 00000000 ____D () C:\Program Files\Microsoft Data 2015-03-26 23:14 - 2015-03-26 23:14 - 0004185 _____ () C:\Documents and Settings\виктор\Application Data\GA 2015-04-18 19:32 - 2015-04-18 19:32 - 1562112 _____ (Cinema PlusV18.04) C:\Documents and Settings\виктор\Application Data\GA.exe 2011-12-20 20:47 - 2015-01-08 13:49 - 0009216 ____C () C:\Documents and Settings\виктор\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2015-03-23 19:40 - 2015-03-23 19:40 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsg35E.tmp 2015-04-19 13:36 - 2015-04-19 13:36 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsi443.tmp 2015-04-18 22:01 - 2015-04-18 22:00 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsi489.tmp 2015-03-21 23:12 - 2015-03-21 23:12 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsr3D7.tmp 2015-03-23 14:49 - 2015-03-23 14:49 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nst3B2.tmp 2015-03-21 22:06 - 2015-03-21 22:06 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsy548.tmp 2015-04-20 22:09 - 2015-04-20 22:09 - 0613255 _____ (CMI Limited) C:\Documents and Settings\виктор\Local Settings\Application Data\nsz39F.tmp EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
sokol19 Опубликовано 29 мая, 2015 Автор Опубликовано 29 мая, 2015 (изменено) сделал я перед этим успел темпы в IE почистить. Fixlog.txt Изменено 29 мая, 2015 пользователем sokol19
sokol19 Опубликовано 1 июня, 2015 Автор Опубликовано 1 июня, 2015 (изменено) поставил KIS. mozilla не запускается. точнее открывается и закрывается сразу.WPFFontCache_v0400.exe висит в диспетчере. помогла очистка папки с расширениями в профиле пользователя. Но осадочек остался. Изменено 1 июня, 2015 пользователем sokol19
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти