andyDufresne 0 Опубликовано 27 октября, 2015 Share Опубликовано 27 октября, 2015 После установки непроверенного ПО, началась глобальная установка различного рекламного ПО на компьютер, при открытии браузера открываются начальные страницы которых никогда не было. CollectionLog-2015.10.27-17.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 октября, 2015 Share Опубликовано 27 октября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Сергей\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Сергей\appdata\local\smartweb\swhk.dll',''); QuarantineFile('C:\Users\Сергей\AppData\Local\Hostinstaller\1793716836_monster.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe',''); DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}'); QuarantineFile('C:\Users\Сергей\AppData\Local\OrvEHago\prMPaimdK1.bat',''); QuarantineFile('C:\ProgramData\KCApHWyOfdTXv\eHpyXYzL5.bat',''); QuarantineFile('C:\Users\Сергей\AppData\Local\Kometa\Application\kometa.exe',''); DeleteService('QMUdisk'); DeleteService('TSSKX64'); DeleteService('TsDefenseBt'); SetServiceStart('hosysogy', 4); SetServiceStart('HHandler Service', 4); DeleteService('HHandler Service'); DeleteService('hosysogy'); DeleteService('QQPCRTP'); TerminateProcessByName('c:\program files (x86)\3322ea31-1445777600-e111-b998-dc0ea17b05d0\jnsca6c9.tmp'); QuarantineFile('c:\program files (x86)\3322ea31-1445777600-e111-b998-dc0ea17b05d0\jnsca6c9.tmp',''); TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe'); QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe',''); DeleteFile('c:\program files (x86)\hp defender\hhandler.exe','32'); DeleteFile('c:\program files (x86)\3322ea31-1445777600-e111-b998-dc0ea17b05d0\jnsca6c9.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRtp.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TsDefenseBT64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\Users\Сергей\AppData\Local\Kometa\Application\kometa.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_1C2B526E2CB7CFAB97399828498C7ACC','command'); DeleteFile('C:\ProgramData\KCApHWyOfdTXv\eHpyXYzL5.bat','32'); DeleteFile('C:\Users\Сергей\AppData\Local\OrvEHago\prMPaimdK1.bat','32'); DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32'); DeleteFile('C:\Windows\system32\Tasks\brbrw_5485','64'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\Сергей\AppData\Local\Hostinstaller\1793716836_monster.exe','32'); DeleteFile('C:\Users\Сергей\appdata\local\smartweb\swhk.dll','32'); DeleteFile('C:\Users\Сергей\appdata\local\smartweb\__u.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
andyDufresne 0 Опубликовано 27 октября, 2015 Автор Share Опубликовано 27 октября, 2015 KLAN-3294625055 1793716836_monster.exe, prMPaimdK1.bat,eHpyXYzL5.bat,jnsca6c9.tmp,hhandler.exeA set of unknown files has been received. They will be sent to the Virus Lab. ClearLNK-27.10.2015_18-40.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 октября, 2015 Share Опубликовано 27 октября, 2015 Убедительная просьба дочитывать рекомендацию до конца Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
andyDufresne 0 Опубликовано 27 октября, 2015 Автор Share Опубликовано 27 октября, 2015 (изменено) Извините, тяжелый день CollectionLog-2015.10.27-19.04.zip Изменено 27 октября, 2015 пользователем andyDufresne Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 октября, 2015 Share Опубликовано 27 октября, 2015 Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.