svis 0 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 (изменено) Здравствуйте ! 1) У меня много процессов calc.exe*32 в деспечере задач 2) После проверки Dr.Web Cureit! было перемещено в карантин несколько троянов но это не помогло 3) Ещё текстовые файлы *.txt сами по себе закрываются (хотел отчёт сам посмотреть но не получилось) CollectionLog-2015.09.25-10.27.zip cureit.rar Изменено 25 сентября, 2015 пользователем svis Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Windows Updater" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166257310 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского CollectionLog-2015.09.25-12.09.zip AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166352236 Не могу скопировать сообщение перестал работать буфер обмена, текстовые файлы *.txt закрываются сами по себе(невозможно их посмотреть и невозможно ни чё скопировать). Вообщем там написано что файл поврежден Вирус не удален AdwCleanerC1.txt AdwCleanerC2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Еще раз повторите логи по правилам. т.е. свежий CollectionLog, пожалуйста, покажите. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 (изменено) Вот (у меня время тут на час вперед) CollectionLog-2015.09.25-13.10.zip Изменено 25 сентября, 2015 пользователем svis Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 AVZ запускаете правой кнопкой от имени администратора? Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 да Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Войдите в безопасный режим и Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) В обычном режиме еще раз повторите логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166495548 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского Странно буфер обмена то работает то нет ? CollectionLog-2015.09.25-13.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 Лог программы UVS Вот так выглядит мой диспечер задач. На всякий случай прислал. Щас стал удалять эти процессы вручную, и новые не появляются, в итоге удалил все. Но после перезагрузки опять та же картина. ПРЕОБРАЖЕНИЕ_2015-09-25_14-19-26.rar Calc.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG addsgn 1A05F49A5583348CF42B627DA89E9941019EF736FCD29434A1D34EF874DA429ED4E6488FB511B941DC710F6FCDD5BE9E59CF63BADE1C47480967A7FE2C41A9BB 8 Multi.Generic [Kaspersky] zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE\MSUPDATE.EXE bl BA6B753DDA15F831FE92BE0EA88B8BD0 281600 delall %SystemDrive%\PROGRA~3\MSCNQ.EXE delall %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\LOCAL\TEMP\TEMPICATVISIONEXE\VISION.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\SWEET-PAGE.XML delall %SystemDrive%\USERS\À¡Ñ‚À½À£À°Ñ‚À½À»À½À²À¨Ñ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W27TPIDK.DEFAULT\SEARCHPLUGINS\DSRLTE1.XML addsgn 1A22A29A5583348CF42B254E3143FE8E60825FC2E9BE1F2546483AE9DB3AF0A00B14C3579FEDF50A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWS LIVE\BOYVWCPDDV.EXE bl F378C40DA028F6EB7351E552B20B4415 285184 addsgn 1A62A69A5583348CF42B254E3143FE8E60825F1A04BF1F2546483AE9DB3AF0A00B14C3579FED350A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\FOJQJV.EXE bl D54F541660AADA484FB2B929B85FFAC0 373760 deldir %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE chklst delvir deltmp czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Подробнее читайте в этом руководстве. Повторите логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166659929 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79 - Trojan.Win32.Bublik.dwhtFOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D - Worm.Win32.Ngrbot.atkuMSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47 - Backdoor.Win32.Androm.iicmДетектирование файлов будет добавлено в следующее обновление.BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79.txt,FOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D.txt,MSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47.txtПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского CollectionLog-2015.09.25-15.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.