Ирина25 Опубликовано 20 ноября, 2015 Опубликовано 20 ноября, 2015 Добрый день, та же проблема!!! Файлы прикрепила, помогите, пожалуйста Addition.txt FRST.txt
Sandor Опубликовано 20 ноября, 2015 Опубликовано 20 ноября, 2015 @Ирина25, выполните Порядок оформления запроса о помощи
Ирина25 Опубликовано 22 ноября, 2015 Автор Опубликовано 22 ноября, 2015 По собственной глупости скачала и запустила с почты файл с расширением .exe. Очень надеюсь, что поможете и мне не придется ночевать на работе! Т.к. комп, где хранились копии недавно сломался и файлы за 6 лет работы испарились. Выкладываю скан экрана и файл протоколов (логов). CollectionLog-2015.11.22-13.12.zip
thyrex Опубликовано 22 ноября, 2015 Опубликовано 22 ноября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Video Saver\Ilmia6N.exe',''); QuarantineFile('C:\Program Files\advPlugin\F0exC82.exe.exe',''); DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}'); QuarantineFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll',''); DeleteService('MaintainerSvc3.37.554636'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe',''); DeleteService('Util Whilokii'); DeleteService('Update Whilokii'); QuarantineFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe',''); QuarantineFile('C:\Program Files\Whilokii\updateWhilokii.exe',''); DeleteFile('C:\Program Files\Whilokii\updateWhilokii.exe','32'); DeleteFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77Zip973867.exe'); DeleteFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll','32'); DeleteFile('C:\Program Files\advPlugin\F0exC82.exe.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 22.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver.job','32'); DeleteFile('C:\Program Files\Video Saver\Ilmia6N.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 22.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Ирина25 Опубликовано 23 ноября, 2015 Автор Опубликовано 23 ноября, 2015 Ответ на письмо: Re: [KLAN-3376080012] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. quarantine.zipThis file is corrupted.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Просканировала, новые логи предоставляю: CollectionLog-2015.11.23-08.15.zip
thyrex Опубликовано 23 ноября, 2015 Опубликовано 23 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ирина25 Опубликовано 23 ноября, 2015 Автор Опубликовано 23 ноября, 2015 Сделала FRST.txt Addition.txt
thyrex Опубликовано 23 ноября, 2015 Опубликовано 23 ноября, 2015 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{FBE88A10-FF53-11E0-AB2A-AE904824019B}\InprocServer32 -> C:\DOCUME~1\user\LOCALS~1\APPLIC~1\ASKTOO~1\DOWNLO~1\AVIRAI~1.DLL => No File ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259054 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259047 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\WINDOWS\system32\cmd.exe (Корпорация Майкрософт) -> /c start "" "hxxp://onzerve.ru/?utm_source=startlink03&utm_term=BB84703618C3348C2C4C1207DCA8E39F" <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mail.ru/cnt/8136 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259063 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259061 <==== ATTENTION AlternateDataStreams: C:\Documents and Settings\user:id HKU\S-1-5-18\...\RunOnce: [Del2809281] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION HKU\S-1-5-18\...\RunOnce: [Del2779203] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION HKU\S-1-5-21-329068152-879983540-725345543-1003\...\Run: [aytyheyykq] => "http://onzerve.ru/?utm_source=uoua03&utm_content=7a6a4678a1d50253790e9906ef30fe8e&utm_term=BB84703618C3348C2C4C1207DCA8E39F" HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKU\.DEFAULT -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF Extension: No Name - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: Popup Currency Calculator - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-06-10] [not signed] FF Extension: Popup Currency Converter - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-03-10] [not signed] FF Extension: VK Downloader - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-08-25] [not signed] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-branding.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-l10n.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\reporter.js [2010-01-16] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear16", "hxxp://onzerve.ru/?utm_content=7d42d5e2258c028ba9e006578490dfb8&utm_source=startpm&utm_term=BB84703618C3348C2C4C1207DCA8E39F" CHR NewTab: Default -> "chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html", "chrome-extension://gndaciceccgapjhpniecknjlmmlanaem/visual-bookmarks.html", "chrome-extension://kppacdmmddediahklmcgkgdhhoojemmd/visual-bookmarks.html" 2015-11-20 08:26 - 2015-11-20 09:53 - 0000080 _____ () C:\Program Files\WHLLZNVSTG.URY Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти