Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Что то с компьютером

саша98

Автор саша98
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\User\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 QuarantineFile('C:\Windows\system32\ir16_32.dll','');
 QuarantineFile('C:\Windows\system32\d3dadapter.dll','');
 DeleteFile('C:\Windows\system32\d3dadapter.dll','32');
 DeleteFile('C:\Windows\system32\ir16_32.dll','32');
 DeleteFile('C:\Users\User\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

  • Спасибо (+1) 1
саша98

саша98

Опубликовано
  • Автор
Опубликовано

@mike 1,

 [KLAN-3035768894]

Здравствуйте,



Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 



apihelper.dll



Вредоносный код в файле не обнаружен.



d3dadapter.dll



Получен неизвестный файл, он будет передан в Вирусную Лабораторию.



С уважением, Лаборатория Касперского



 

FRST.txt

Addition.txt

CollectionLog-2015.08.08-19.48.zip

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 0.0.0.0
Tcpip\..\Interfaces\{3A1A048B-FA4B-44F3-ADB2-57BAEE03B10A}: [DhcpNameServer] 192.168.1.1 0.0.0.0
FF Extension: FProtected v14.11.6 - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsoc@tele-walk.com [2014-11-06]
FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-05-01]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-08-08]
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imkmhbbgjgkbkpajmnfeebdodfcelmdm] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
S2 ir16_32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 d3dadapter; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
NETSVCx32: KBDMAI -> no path.
NETSVCx32: d3dadapter -> no path.
NETSVCx32: ir16_32 -> no path.
NETSVCx32: wlanmgr -> no path.
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Если после фикса пропадет интернет на компьютере, то в сетевом подключении пропишите DNS адреса, который вам выдал ваш провайдер.
  • Обратите внимание, что компьютер будет перезагружен.
 
 
mike 1

mike 1

Опубликовано
Опубликовано
  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

mike 1

mike 1

Опубликовано
Опубликовано
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
 

 

Malwarebytes Anti-Malware, версия 2.1.8.1057 v.2.1.8.1057

Adguard v.5.10.2051.6368

Может конфликтовать с KIS.

 

Kaspersky Internet Security v.15.0.1.415 - обновите до 2016 версии.
 
Yandex v.15.6.2311.5029 Внимание! Скачать обновления
 

 

 

И вот лог http://www.ex.ua/870227367005

У меня блокирован этот сайт, а через прокси он не открывается. 

mike 1

mike 1

Опубликовано
Опубликовано

Судя по логу этой утилиты поврежденных файлов не было обнаружено. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...