Fabulous Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Здравствуйте. Поиск по умолчанию не удается изменить С Yamdex'а на любой другой. Вместо крестика "Этот параметр включен администратором." CollectionLog-2015.06.21-14.57.zip
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Program Files (x86)\punto.bat',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\punto.bat','32'); DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\User\AppData\Roaming\SearchIndexer\desktopsearchservice.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchIndexer','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам
Fabulous Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 Письмо:KLAN-2889090203Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.punto.batAn unknown file has been received. It will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"--------------------------------------------------------------------------------Sent: 6/21/2015 12:14:29 PMTo: newvirus@kaspersky.comSubject: quarantine.zipИ отчет Сообщение от модератора Mark D. Pearlstone Адрес почты пользователя удалён. ClearLNK-21.06.2015_15-25.log
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Сил дочитать не хватило Сделайте новые логи по правилам
Fabulous Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 Сил дочитать не хватило Сделайте новые логи по правилам Отчет CollectionLog-2015.06.21-16.03.zip ClearLNK-21.06.2015_16-10.log
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Fabulous Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 (изменено) FRST.txt не загружалось. "загрузка пропущена (ошибка403)." Пришлось заархивировать Addition.txt FRST.rar Изменено 21 июня, 2015 пользователем Fabulous
thyrex Опубликовано 21 июня, 2015 Опубликовано 21 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKU\S-1-5-21-2749078045-1659887603-1609509421-1008\...\Run: [Clownfish] => [X] HKU\S-1-5-21-2749078045-1659887603-1609509421-1000\...\Run: [AdobeBridge] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-2749078045-1659887603-1609509421-1008\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91072394_hao_pg BHO: ????????? -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TSWebMon64.dat No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=853dccd7378339787c957ec9274fbf48&text= <==== ATTENTION OPR StartupUrls: "hxxp://2knl.org/?src=hp4&subid1=feb", "hxxp://2knl.org/?src=hp4&subid1=feb" 2015-03-25 21:01 - 2015-03-25 21:01 - 0000114 ____H () C:\Program Files (x86)\diary.bat 2015-03-25 21:01 - 2015-02-04 13:35 - 0291128 ____H (ООО Яндекс) C:\Program Files (x86)\diаry.bаt.exe 2015-03-25 21:01 - 2015-03-25 21:01 - 0000116 ____H () C:\Program Files (x86)\layouts.bat 2015-03-25 21:01 - 2015-02-04 13:35 - 0034104 ____H (ООО Яндекс) C:\Program Files (x86)\lаyоuts.bаt.exe 2015-03-25 21:01 - 2015-03-25 21:01 - 0000111 ____H () C:\Program Files (x86)\ps.bat 2015-03-25 21:01 - 2015-03-25 21:01 - 0000114 ____H () C:\Program Files (x86)\punto.bat 2015-03-25 21:01 - 2015-02-04 13:35 - 1626424 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe 2015-03-25 21:01 - 2015-03-25 21:01 - 0000117 ____H () C:\Program Files (x86)\WelcomeToPunto.bat CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> D:\Temp\mcse64_00.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> D:\Temp\mcse64_00.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> D:\Temp\mcse64_00.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> D:\Temp\mcse64_00.dll No File CustomCLSID: HKU\S-1-5-21-2749078045-1659887603-1609509421-1000_Classes\CLSID\{8A7D38FA-6E11-48FF-8315-8B9EA08F5314}\InprocServer32 -> C:\Program Files (x86)\ВидеоМАСТЕР\ShellMenu.dll No File Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Fabulous Опубликовано 21 июня, 2015 Автор Опубликовано 21 июня, 2015 Проблема решена. Спасибо. Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти