CtepaN 0 Опубликовано 28 июля, 2015 Share Опубликовано 28 июля, 2015 Добрый день. Реклама у меня не открывается. Я так понимаю по тому, что ее блокирует KIS. Ну или я что-то путаю. Помогите, пожалуйста, разобраться. Листинг.тхт - отчет о событиях в KIS-е Спасибо! Addition.txt FRST.txt листинг.txt Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 28 июля, 2015 Share Опубликовано 28 июля, 2015 Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 28 июля, 2015 Автор Share Опубликовано 28 июля, 2015 Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению. Как-будто получилось. Можно остаться в этой теме, чтобы не создавать новую? CollectionLog-2015.07.28-16.13.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe',''); QuarantineFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe',''); DeleteFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job','32'); DeleteFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','32'); DeleteFile('C:\Windows\Tasks\BalanceBug.job','32'); DeleteFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[74c7]','32'); DeleteFile('C:\Windows\Tasks\DSite.job','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 29 июля, 2015 Автор Share Опубликовано 29 июля, 2015 Ответ от newvirus@kaspersky.com Номер KLAN-3011983255 qghumeaylnlf.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского В результате чего формируется файл Check_Browsers_LNK.log? После чего формировать новые ЛОГи - после очистки браузеров? Или можно сделать это сейчас и выложить? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 В результате чего формируется файл Он есть в папке Autologger После выполнения рекомендации по ClearLnk подготовить новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 29 июля, 2015 Автор Share Опубликовано 29 июля, 2015 Результат работы ClearLnk и AutoLogger.exe. KIS перестал выдавать сообщения о попытке запуска некоего "номерного" исполнимого файла. Похоже, что все стало стерильно. В очередной раз Снимаю Шляпу - огромное СПАСИБО! Мне надо что-то еще предпринимать? ClearLNK-29.07.2015_10-43.log CollectionLog-2015.07.29-11.09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 Сделайте новые логи Farbar Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 29 июля, 2015 Автор Share Опубликовано 29 июля, 2015 Свежие логи. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i= HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i= SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> DefaultScope {F544F039-1BDE-4714-B93E-D94180E8CDC4} URL = http://search.findwide.com/serp?guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_150213_alt&babsrc=SP_ss&mntrId=C85700261848E071 BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {94F83EDA-B221-4E9A-8C10-4E70A330054D} - No File 2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Roaming\9481 2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Local\2631 C:\Users\admin-295\AppData\Local\Temp\5008454286233192900e.exe C:\Users\admin-295\AppData\Local\Temp\936178627996858969e.exe CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> No Filepath Task: {E79CB012-D34E-4716-B530-79BAD073A508} - \DealPlyUpdate No Task File <==== ATTENTION AlternateDataStreams: C:\Users\admin-295\Local Settings:wa AlternateDataStreams: C:\Users\admin-295\AppData\Local:wa AlternateDataStreams: C:\Users\admin-295\AppData\Local\Application Data:wa Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 29 июля, 2015 Автор Share Опубликовано 29 июля, 2015 Фикслог. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 На этом все Цитата Ссылка на сообщение Поделиться на другие сайты
CtepaN 0 Опубликовано 29 июля, 2015 Автор Share Опубликовано 29 июля, 2015 Огромное спасибо! Можете в двух словах описать, что было? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 июля, 2015 Share Опубликовано 29 июля, 2015 Рекламное Adware Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.