Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Помогите, пожалуйста, разобраться

CtepaN

Автор CtepaN
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

CtepaN Новичок

CtepaN

Опубликовано
Опубликовано

Добрый день. Реклама у меня не открывается. Я так понимаю по тому, что ее блокирует KIS. Ну или я что-то путаю. Помогите, пожалуйста, разобраться.

Листинг.тхт - отчет о событиях в KIS

Спасибо!

Addition.txt

FRST.txt

листинг.txt

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Как-будто получилось. Можно остаться в этой теме, чтобы не создавать новую?

CollectionLog-2015.07.28-16.13.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','');
QuarantineFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','');
DeleteFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','32');
DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job','32');
DeleteFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','32');
DeleteFile('C:\Windows\Tasks\BalanceBug.job','32');
DeleteFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[74c7]','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Ответ от newvirus@kaspersky.com

Номер KLAN-3011983255

 

 

 

qghumeaylnlf.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

В результате чего формируется файл  Check_Browsers_LNK.log?

После чего формировать новые ЛОГи - после очистки браузеров?

Или можно сделать это сейчас и выложить?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


В результате чего формируется файл
Он есть в папке Autologger

 

После выполнения рекомендации по ClearLnk подготовить новые логи

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Результат работы ClearLnk и AutoLogger.exe.

KIS перестал выдавать сообщения о попытке запуска некоего "номерного" исполнимого файла.

Похоже, что все стало стерильно.

В очередной раз Снимаю Шляпу - огромное СПАСИБО!

 

Мне надо что-то еще предпринимать?

ClearLNK-29.07.2015_10-43.log

CollectionLog-2015.07.29-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> DefaultScope {F544F039-1BDE-4714-B93E-D94180E8CDC4} URL = http://search.findwide.com/serp?guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_150213_alt&babsrc=SP_ss&mntrId=C85700261848E071
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {94F83EDA-B221-4E9A-8C10-4E70A330054D} -  No File
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Roaming\9481
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Local\2631
C:\Users\admin-295\AppData\Local\Temp\5008454286233192900e.exe
C:\Users\admin-295\AppData\Local\Temp\936178627996858969e.exe
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> No Filepath
Task: {E79CB012-D34E-4716-B530-79BAD073A508} - \DealPlyUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\admin-295\Local Settings:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local\Application Data:wa
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
×
×
  • Создать...