svis 0 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 (изменено) Здравствуйте ! 1) У меня много процессов calc.exe*32 в деспечере задач 2) После проверки Dr.Web Cureit! было перемещено в карантин несколько троянов но это не помогло 3) Ещё текстовые файлы *.txt сами по себе закрываются (хотел отчёт сам посмотреть но не получилось) CollectionLog-2015.09.25-10.27.zip cureit.rar Изменено 25 сентября, 2015 пользователем svis Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Windows Updater" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166257310 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского CollectionLog-2015.09.25-12.09.zip AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166352236 Не могу скопировать сообщение перестал работать буфер обмена, текстовые файлы *.txt закрываются сами по себе(невозможно их посмотреть и невозможно ни чё скопировать). Вообщем там написано что файл поврежден Вирус не удален AdwCleanerC1.txt AdwCleanerC2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Еще раз повторите логи по правилам. т.е. свежий CollectionLog, пожалуйста, покажите. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 (изменено) Вот (у меня время тут на час вперед) CollectionLog-2015.09.25-13.10.zip Изменено 25 сентября, 2015 пользователем svis Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 AVZ запускаете правой кнопкой от имени администратора? Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 да Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Войдите в безопасный режим и Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Стоматология\appdata\roaming\c731200',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe',''); QuarantineFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', ''); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Microsoft\Windows\themes\Fojqjv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\Windows Live\boyvwcpddv.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Стоматология\appdata\roaming\c731200','32'); DeleteFile('C:\Users\Стоматология\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fojqjv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fojqjv','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) В обычном режиме еще раз повторите логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166495548 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского Странно буфер обмена то работает то нет ? CollectionLog-2015.09.25-13.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 Лог программы UVS Вот так выглядит мой диспечер задач. На всякий случай прислал. Щас стал удалять эти процессы вручную, и новые не появляются, в итоге удалил все. Но после перезагрузки опять та же картина. ПРЕОБРАЖЕНИЕ_2015-09-25_14-19-26.rar Calc.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 873 Опубликовано 25 сентября, 2015 Share Опубликовано 25 сентября, 2015 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG addsgn 1A05F49A5583348CF42B627DA89E9941019EF736FCD29434A1D34EF874DA429ED4E6488FB511B941DC710F6FCDD5BE9E59CF63BADE1C47480967A7FE2C41A9BB 8 Multi.Generic [Kaspersky] zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE\MSUPDATE.EXE bl BA6B753DDA15F831FE92BE0EA88B8BD0 281600 delall %SystemDrive%\PROGRA~3\MSCNQ.EXE delall %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\LOCAL\TEMP\TEMPICATVISIONEXE\VISION.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\SWEET-PAGE.XML delall %SystemDrive%\USERS\À¡Ñ‚À½À£À°Ñ‚À½À»À½À²À¨Ñ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\W27TPIDK.DEFAULT\SEARCHPLUGINS\DSRLTE1.XML addsgn 1A22A29A5583348CF42B254E3143FE8E60825FC2E9BE1F2546483AE9DB3AF0A00B14C3579FEDF50A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWS LIVE\BOYVWCPDDV.EXE bl F378C40DA028F6EB7351E552B20B4415 285184 addsgn 1A62A69A5583348CF42B254E3143FE8E60825F1A04BF1F2546483AE9DB3AF0A00B14C3579FED350A2BB3411603EACA5FA523178D5589DA60A0F278D338F94873 8 calc zoo %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\FOJQJV.EXE bl D54F541660AADA484FB2B929B85FFAC0 373760 deldir %SystemDrive%\USERS\СТОМАТОЛОГИЯ\APPDATA\ROAMING\WINDOWSUPDATE chklst delvir deltmp czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Подробнее читайте в этом руководстве. Повторите логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
svis 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 KLAN-3166659929 Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79 - Trojan.Win32.Bublik.dwhtFOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D - Worm.Win32.Ngrbot.atkuMSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47 - Backdoor.Win32.Androm.iicmДетектирование файлов будет добавлено в следующее обновление.BOYVWCPDDV.EXE._562A290B23E7154A46B82392EECE41777C4ACC79.txt,FOJQJV.EXE._9F0C9BD6E3027549B52F0DF9DF8287BC78C6F44D.txt,MSUPDATE.EXE._ABB83FC41B2F4089C0E3BCAB93119C403E3E4F47.txtПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского CollectionLog-2015.09.25-15.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.