Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Возможно зараженный ноут. Помогите пожалуйста разобраться.

Steel Rain

Автор Steel Rain
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Steel Rain Продвинутый

Steel Rain

Опубликовано
Опубликовано

Добрый день.

 

Ноут странно себя ведет: в браузере chrome постоянно появляются всплывающие окна с рекламой и перебрасывает на рекламные страницы. В IE, как ни странно, проблема не проявляется. При проверке Kaspersky Virus Removal Tool 2015  ничего не обнаружено. 

Dr.Web CureIt!  нашел Program.VkontakteDJ1, описания почему то нет на сайте, что это за зверь.

При работе AutoLogger была ошибка при запуске RSIT, скрин в аттаче.

Посмотрите пожалуйста логи, есть ли зловреды? Заранее признателен.

 

post-8119-0-49950500-1439039976_thumb.jpg

CollectionLog-2015.08.08-16.09.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog(PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 30000, true)
else ExecuteFile('7za.pif', CMDLine, 0, 30000, true);
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

При работе AutoLogger была ошибка при запуске RSIT, скрин в аттаче.

Эта проблема стабильно воспроизводится? 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Да, проблема в работе RSIT стабильно воспроизводится. Вылетает на "Получение списка назначенных заданий".

Ещё один момент, когда появляется сообщение "Сейчас будет запущен IE и Chrome", запускается два экземпляра IE. Это нормально?

 

P.S.: после всех манипуляций при запуске Chrome появилось сообщение "Файл настроек поврежден или недействителен. Google Chrome не может восстановить ваши параметры." Проблема с перекидыванием на "левые" сайты и всплывающими окнами с рекламой осталась.

 

P.P.S.: скачал RSIT отдельно, вот лог.

RSIT_log.txt

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Попробовал. RSIT - та же ошибка.

С версией RSITx64112 загруженной отсюда http://safezone.cc/threads/kak-podgotovit-logi-randoms-system-information-tool-rsit.389/ тоже выдает ошибку. Работает вот отсюда http://virusinfo.info/showthread.php?t=49691 лог я уже прилагал выше.

CollectionLog-2015.08.08-23.46.zip

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4024099200-1797467158-296464601-1001\...\RunOnce: [ClearTemp] => del C:\Users\192386\AppData\Local\Temp\yupdate.exe-{343090A9-2C93-4346-8535-F4799BB74B92} <===== ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-4024099200-1797467158-296464601-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Social Time) - C:\Users\192386\AppData\Local\Google\Chrome\User Data\Default\Extensions\fljglmpiibbpipmjccapbhfacmgfgfgf [2015-03-10]
CHR Extension: (Стартовая — Яндекс) - C:\Users\192386\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-11-11]
CHR Extension: (UpArrow) - C:\Users\192386\AppData\Local\Google\Chrome\User Data\Default\Extensions\npmpfbngjonjlmppalcogfgeomohelde [2015-04-04]
CHR Extension: (AdsoctmVK) - C:\Users\192386\AppData\Local\Google\Chrome\User Data\Default\Extensions\phcnccjdjcldodpaeelocgfolgfcajff [2015-04-04]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Пока наверное да. Сейчас я ответа жду от разработчика Автологгера. 

 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на комментарий
Поделиться на другие сайты
Steel Rain Продвинутый

Steel Rain

Опубликовано
  • Автор
Опубликовано (изменено)

Полагаю Anti-Malware надо ещё запустить?

P.S.: С RSIT, кстати, не первый раз подобную ошибку наблюдаю на win 8.1

SecurityCheck.txt

Изменено пользователем Steel Rain
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      Автор Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • plak
      шифровальщик, возможно Proton/shinra
      Автор plak
      один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю
      1. результаты Farbar Recovery Scan Tool
      2. зашифрованные файлы
      3. шифровальщик
      4. текст вымогателя
      пароль на все файлы virus
      shifr.rar
    • besdelnick
      Добрый день. Поймали шифровальщика по RDP. Помогите пожалуйста
      Автор besdelnick
      MS_AgentSigningCertificate.cer.rar
×
×
  • Создать...