Перейти к содержанию

Помогите, пожалуйста, разобраться


Рекомендуемые сообщения

Добрый день. Реклама у меня не открывается. Я так понимаю по тому, что ее блокирует KIS. Ну или я что-то путаю. Помогите, пожалуйста, разобраться.

Листинг.тхт - отчет о событиях в KIS

Спасибо!

Addition.txt

FRST.txt

листинг.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Внимательно читайте порядок оформления запроса о помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Вам нужно скачать и запустить AutoLogger.exe по окончанию работы утилиты будет сохранен лог такого типа: CollectionLog-2014.07.14-21.04.zip Вот его вам и необходимо прикрепить к своему следующему сообщению.

Как-будто получилось. Можно остаться в этой теме, чтобы не создавать новую?

CollectionLog-2015.07.28-16.13.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','');
QuarantineFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','');
DeleteFile('c:\programdata\{e761b244-727b-931c-e761-1b244727c911}\7124638263154701630e.exe','32');
DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[74c7].job','32');
DeleteFile('c:\programdata\{a03bdf14-f148-b654-a03b-bdf14f147c53}\hqghumeaylnlf.exe','32');
DeleteFile('C:\Windows\Tasks\BalanceBug.job','32');
DeleteFile('C:\Users\ADMIN-~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[74c7]','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Ответ от newvirus@kaspersky.com

Номер KLAN-3011983255

 

 

 

qghumeaylnlf.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского

В результате чего формируется файл  Check_Browsers_LNK.log?

После чего формировать новые ЛОГи - после очистки браузеров?

Или можно сделать это сейчас и выложить?

Ссылка на комментарий
Поделиться на другие сайты

 

 


В результате чего формируется файл
Он есть в папке Autologger

 

После выполнения рекомендации по ClearLnk подготовить новые логи

Ссылка на комментарий
Поделиться на другие сайты

Результат работы ClearLnk и AutoLogger.exe.

KIS перестал выдавать сообщения о попытке запуска некоего "номерного" исполнимого файла.

Похоже, что все стало стерильно.

В очередной раз Снимаю Шляпу - огромное СПАСИБО!

 

Мне надо что-то еще предпринимать?

ClearLNK-29.07.2015_10-43.log

CollectionLog-2015.07.29-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
HKU\S-1-5-21-833660222-1765833268-3002110727-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11443&guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&i=
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> DefaultScope {F544F039-1BDE-4714-B93E-D94180E8CDC4} URL = http://search.findwide.com/serp?guid={3EFF6F03-8615-4478-8A8B-6AC31D962D94}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_150213_alt&babsrc=SP_ss&mntrId=C85700261848E071
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-833660222-1765833268-3002110727-1000 -> No Name - {94F83EDA-B221-4E9A-8C10-4E70A330054D} -  No File
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Roaming\9481
2013-12-27 13:42 - 2013-12-27 13:42 - 0000012 _____ () C:\Users\admin-295\AppData\Local\2631
C:\Users\admin-295\AppData\Local\Temp\5008454286233192900e.exe
C:\Users\admin-295\AppData\Local\Temp\936178627996858969e.exe
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath
CustomCLSID: HKU\S-1-5-21-833660222-1765833268-3002110727-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> No Filepath
Task: {E79CB012-D34E-4716-B530-79BAD073A508} - \DealPlyUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\admin-295\Local Settings:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local:wa
AlternateDataStreams: C:\Users\admin-295\AppData\Local\Application Data:wa
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Namnayshka
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
    • Александр_38
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...