serj477 0 Опубликовано 3 июля, 2015 Share Опубликовано 3 июля, 2015 не получается удалить вредоносное ПО, скачанное попутно с нормальной прогой. Прошу помощи в диагностике и лечении. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 3 июля, 2015 Share Опубликовано 3 июля, 2015 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 3 июля, 2015 Автор Share Опубликовано 3 июля, 2015 извиняюсь, поторопился, исправляюсь -привязываю. CollectionLog-2015.07.03-20.15.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 июля, 2015 Share Опубликовано 3 июля, 2015 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\program files\miuitab\protectservice.exe'); TerminateProcessByName('c:\program files\miuitab\cmdshell.exe'); TerminateProcessByName('c:\program files\miuitab\hpnotify.exe'); SetServiceStart('speccy', 4); SetServiceStart('IHProtect Service', 4); StopService('IHProtect Service'); QuarantineFile('C:\Program Files\miuitab\browerwatchch.dll',''); QuarantineFile('C:\Program Files\LastPass\LPBar.dll',''); QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll',''); QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\Rar$EX00.812\winio.sys',''); QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73',''); QuarantineFile('C:\Program Files\MiuiTab\IeWatchDog.dll',''); QuarantineFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll',''); QuarantineFile('c:\program files\miuitab\protectservice.exe',''); QuarantineFile('c:\program files\miuitab\cmdshell.exe',''); QuarantineFile('c:\program files\miuitab\hpnotify.exe',''); DeleteFile('C:\Program Files\MiuiTab\BrowerWatchFF.dll','32'); DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\576b0aa7-86b0-41b0-a5f6-6f3d581abf73','32'); DeleteFile('C:\Program Files\LastPass\LPBar.dll','32'); DeleteFile('C:\Program Files\miuitab\browerwatchch.dll','32'); DeleteFile('C:\Program Files\miuitab\cmdshell.exe','32'); DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32'); DeleteFile('C:\Program Files\miuitab\iewatchdog.dll','32'); DeleteFile('C:\Program Files\miuitab\protectservice.exe','32'); DeleteFile('C:\Program Files\miuitab\suptab.dll','32'); DeleteFileMask('C:\Program Files\miuitab\ ','* ',true ,' '); DeleteDirectory('C:\Program Files\miuitab\',' '); DelBHO('51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F'); DelBHO('95D9ECF5-2A4D-4550-BE49-70D42F71296E'); DelBHO('9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5'); DeleteService('speccy'); DeleteService('IHProtect Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1435916304&z=b9d4cc5f23fa83edbe97045gdzbc2wat7gaqbo3tbb&from=cor&uid=WDCXWD2500AAKS-00VSA0_WD-WMART111168011680 R3 - Default URLSearchHook is missing Сделайте новые логи по правилам (только пункт 2).+ лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 4 июля, 2015 Автор Share Опубликовано 4 июля, 2015 Отправил - жду ответа, потом отпишусь. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 июля, 2015 Share Опубликовано 4 июля, 2015 Делать новые логи нужно, не дожидаясь ответа Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 5 июля, 2015 Автор Share Опубликовано 5 июля, 2015 (изменено) Делать новые логи нужно, не дожидаясь ответа Понятно, но уж так сложилось , что времени не хватило (дачный сезон). теперь вот, по возможности, всё доделал а заодно и получил ответ от Касперского: Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. browerwatchch.dll BrowerWatchFF.dll, cmdshell.exe, IeWatchDog.dll, LPBar.dll, protectservice.exe, SupTab.dll hpnotify.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. Логи привязываю, визуально проблема решена, проверьте пожалуйста логи и сообщите так ли это? CollectionLog-2015.07.05-23.31.zip AdwCleanerR0.txt Изменено 5 июля, 2015 пользователем serj477 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июля, 2015 Share Опубликовано 5 июля, 2015 И где же новые логи? Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 5 июля, 2015 Автор Share Опубликовано 5 июля, 2015 И где же новые логи? Медленно на компе работаю, логи выше. Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 6 июля, 2015 Автор Share Опубликовано 6 июля, 2015 Как только увидел Search Protect почемуто решил, что проблема с браузером и сразу снёс Мозилу, теперь вот думаю, если восстановлю мозилу из сохранённого файла данных не восстановится ли Search Protect ? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 6 июля, 2015 Share Опубликовано 6 июля, 2015 Сделайте лог полного сканирования МВАМ Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 6 июля, 2015 Автор Share Опубликовано 6 июля, 2015 Anti Malware.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 июля, 2015 Share Опубликовано 6 июля, 2015 выберите карантин всего найденного в MBAM (кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d], )новый лог приложите Ссылка на сообщение Поделиться на другие сайты
serj477 0 Опубликовано 6 июля, 2015 Автор Share Опубликовано 6 июля, 2015 (изменено) В карантине ставлю везде галочки, кроме Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d] и удаляю всё с галочками? Я Вас правильно понял? Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [2b5ea23c6f1bc86e447b4f53e51d738d] - в карантине его не вижу. Изменено 6 июля, 2015 пользователем serj477 Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 июля, 2015 Share Опубликовано 6 июля, 2015 Я Вас правильно понял? да. в карантине его не вижу. значит, уже удалили. ничего страшного. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения