Касперский посстоянно обнаруживает вредоносное ПО

[chetkaia]

CollectionLog-2015.11.01-10.19.zip также не работает клавиатура,и в браузерах мне отравляет жизнь реклама

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Андрей\appdata\roaming\aspackage\aspackage.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Users\Андрей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
SetServiceStart('contentdefenderdrv', 4);
DeleteService('contentdefenderdrv');
QuarantineFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','');
SetServiceStart('comukiny', 4);
SetServiceStart('ContentDefender', 4);
SetServiceStart('ninefyci', 4);
SetServiceStart('vihinosu', 4);
DeleteService('vihinosu');
DeleteService('ninefyci');
DeleteService('ContentDefender');
DeleteService('comukiny');
QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe','');
TerminateProcessByName('c:\users\Андрей\appdata\local\4000d3c9-1446155307-df11-9cad-00266c84ede2\snsh38d2.tmp');
QuarantineFile('c:\users\Андрей\appdata\local\4000d3c9-1446155307-df11-9cad-00266c84ede2\snsh38d2.tmp','');
TerminateProcessByName('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\jnsr148e.tmp');
QuarantineFile('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\jnsr148e.tmp','');
TerminateProcessByName('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\hnsb2d7c.tmp');
QuarantineFile('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\hnsb2d7c.tmp','');
DeleteFile('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\hnsb2d7c.tmp','32');
DeleteFile('c:\program files (x86)\4000d3c9-1446144415-df11-9cad-00266c84ede2\jnsr148e.tmp','32');
DeleteFile('c:\users\Андрей\appdata\local\4000d3c9-1446155307-df11-9cad-00266c84ede2\snsh38d2.tmp','32');
DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe','32');
DeleteFile('C:\Windows\system32\drivers\contentdefenderdrv.sys','32');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\Users\Андрей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Users\Андрей\appdata\roaming\aspackage\aspackage.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[_Strannik_]

Помогаю в лечении. ( т.к у пользователя нет возможности отправить карантин в вирлаб, карантин отправил я) Ответ от вирлаба:

 

 [KLAN-3309908415]

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.aeru

Это файл от рекламной системы. Детектирование файла будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

timetasks.exe - not-a-virus:Downloader.Win32.Agent.ecsx
contentdefenderdrv.sys,
ContentDefender.exe - not-a-virus:RiskTool.Win64.NetFilter.o

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

snsh38d2.tmp,
jnsr148e.tmp,
hnsb2d7c.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Изменено 2 ноября, 2015 пользователем _Strannik_

[chetkaia]

CollectionLog-2015.11.02-10.32.zip 2.11.2015

[thyrex]

Сделайте лог полного сканирования МВАМ

[chetkaia]

ф.txt

[thyrex]

Удалите в МВАМ все найденное

[chetkaia]

удалила

Удалите в МВАМ все найденное

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[chetkaia]

FRST.txtAddition.txt

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

 

 

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CHR Extension: (NetSecurity v14.1.22) - C:\Users\Андрей\AppData\Roaming\nsmls [2015-10-29]
2015-10-29 21:47 - 2009-06-11 00:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-10-29 21:45 - 2015-10-30 20:36 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\Homepager
C:\Users\Андрей\AppData\Local\Temp\30C292C9-5606-4DA1-AC11-8678822247C7.exe
C:\Users\Андрей\AppData\Local\Temp\44CBF317-45BC-437F-B5F6-B76405B3746E.exe
C:\Users\Андрей\AppData\Local\Temp\51AB59A0-51D9-4C01-BD55-E8404F0BDFF1.exe
C:\Users\Андрей\AppData\Local\Temp\76D6763E-B53F-46E7-AAFC-5CFC6B41C875.exe
C:\Users\Андрей\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.