Перейти к содержанию
Правила раздела

Помогите, пожалуйста, разобраться

CtepaN

От CtepaN
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

CtepaN Новичок

CtepaN

Опубликовано
Опубликовано

Добрый день. Реклама у меня не открывается. Я так понимаю по тому, что ее блокирует KIS. Ну или я что-то путаю. Помогите, пожалуйста, разобраться.

Листинг.тхт - отчет о событиях в KIS

Спасибо!

Addition.txt

FRST.txt

листинг.txt

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Как-будто получилось. Можно остаться в этой теме, чтобы не создавать новую?

CollectionLog-2015.07.28-16.13.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','');
QuarantineFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','');
DeleteFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','32');
DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job','32');
DeleteFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','32');
DeleteFile('C:\Windows\Tasks\BalanceBug.job','32');
DeleteFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[74c7]','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Ответ от newvirus@kaspersky.com

Номер KLAN-3011983255

 

 

 

qghumeaylnlf.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

В результате чего формируется файл  Check_Browsers_LNK.log?

После чего формировать новые ЛОГи - после очистки браузеров?

Или можно сделать это сейчас и выложить?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


В результате чего формируется файл
Он есть в папке Autologger

 

После выполнения рекомендации по ClearLnk подготовить новые логи

Ссылка на комментарий
Поделиться на другие сайты
CtepaN Новичок

CtepaN

Опубликовано
  • Автор
Опубликовано

Результат работы ClearLnk и AutoLogger.exe.

KIS перестал выдавать сообщения о попытке запуска некоего "номерного" исполнимого файла.

Похоже, что все стало стерильно.

В очередной раз Снимаю Шляпу - огромное СПАСИБО!

 

Мне надо что-то еще предпринимать?

ClearLNK-29.07.2015_10-43.log

CollectionLog-2015.07.29-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> DefaultScope {F544F039-1BDE-4714-B93E-D94180E8CDC4} URL = http://search.findwide.com/serp?guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_150213_alt&babsrc=SP_ss&mntrId=C85700261848E071
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {94F83EDA-B221-4E9A-8C10-4E70A330054D} -  No File
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Roaming\9481
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Local\2631
C:\Users\admin-295\AppData\Local\Temp\5008454286233192900e.exe
C:\Users\admin-295\AppData\Local\Temp\936178627996858969e.exe
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> No Filepath
Task: {E79CB012-D34E-4716-B530-79BAD073A508} - \DealPlyUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\admin-295\Local Settings:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local\Application Data:wa
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Alex161
      Помогите с трояном
      От Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...