kulichenko.znam 0 Опубликовано 23 декабря, 2015 Share Опубликовано 23 декабря, 2015 Добрый день! Сотруднице на почту пришло письмо от знакомого пользователя. открыла ссылку и ... Во вложении файлы логов и несколько зараженных файлов. Заранее благодарен. Вирус.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 декабря, 2015 Share Опубликовано 23 декабря, 2015 Почему логи сделаны специальной версией Автологгера? Обычная версия не запустилась? Это ваши файлы? c:\temp\logsvcprov.exe c:\users\12\appdata\local\temp\qe.exe c:\temp\rpchost.exe C:\ProgramData\Adobe\rdp\kl.exe Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 23 декабря, 2015 Автор Share Опубликовано 23 декабря, 2015 Добрый день! На счет специальной версии - скачал её первой и запустил. Другой не пробовал. Файлы - да все мои. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 декабря, 2015 Share Опубликовано 23 декабря, 2015 Сделайте логи обычной версией Автологгера. Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 23 декабря, 2015 Автор Share Опубликовано 23 декабря, 2015 Лог во вложении вирус(1).zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 декабря, 2015 Share Опубликовано 23 декабря, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. да все мои. ТОЧНО? Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\temp\logsvcprov.exe'); QuarantineFile('C:\Users\12\AppData\Local\MediaGet2\mediaget.exe',''); QuarantineFile('C:\Program Files\Ask.com\Updater\Updater.exe',''); QuarantineFile('c:\programdata\adobe\rdp\kl.exe',''); QuarantineFile('c:\temp\rpchost.exe',''); QuarantineFile('c:\users\12\appdata\local\temp\qe.exe',''); QuarantineFile('C:\Program Files\explore.exe',''); QuarantineFile('c:\temp\logsvcprov.exe',''); DeleteFile('c:\temp\logsvcprov.exe','32'); DeleteFile('C:\Program Files\explore.exe','32'); DeleteFile('C:\Program Files\Ask.com\Updater\Updater.exe','32'); DeleteFile('C:\Users\12\AppData\Local\MediaGet2\mediaget.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1427439508&from=wpm032731&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1427439508&from=wpm032731&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) O4 - HKLM\..\Run: [pr] C:\Program Files\explore.exe O4 - HKCU\..\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] "C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe" --type=service O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - Invalid registry found Сделайте новые логи по правилам (только пункт 2).+ приложите логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 24 декабря, 2015 Автор Share Опубликовано 24 декабря, 2015 Добрый день! Спасибо что не бросаете в сложный час! 1.Логи сделал, скрипт выполнил. на портал отправил. Вот ответ. Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. kl.exe,bcqr00005.dat,bcqr00006.datПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.rpchost.exe,logsvcprov.exe,bcqr00007.dat,bcqr00008.dat - not-a-virus:RemoteAdmin.Win32.RMS.xЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.qe.exe,bcqr00009.dat,bcqr00010.dat - Trojan.Win32.Yakes.npdqДетектирование файлов будет добавлено в следующее обновление.С уважением, Лаборатория Касперского 2. kulichenko.znam сказал(а) да все мои. Да мои.в прошлый раз, перед ответом, прошелся по всем четырем файлам они там были. 3. Пофиксил. не хватало пары строк , как Вы и писали. 4. Новые логи во вложении. LOG.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 24 декабря, 2015 Share Опубликовано 24 декабря, 2015 Да мои.в прошлый раз, перед ответом, прошелся по всем четырем файлам они там были. я плакалЬ. простите.Ваши - это не у Вас на компьютере, а ВАШИ личные.то, что они на компьютере - мы и так видим. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\...\Run: [eRecoveryService] => [X] HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] => C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe [741704 2015-12-11] (Google Inc.) HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [QE Java updater] => C:\Users\12\AppData\Local\Temp\QE.EXE [329216 2015-11-30] (Cyotek Ltd) <===== ATTENTION HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [RPCHost] => c:\Temp\rpchost.exe [6098392 2013-07-09] () <===== ATTENTION HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {15681a30-3eb5-11de-aed7-001eecd2af2f} - pytsmvt.exe HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {3d699303-cf5b-11de-8f04-001eecd2af2f} - ntde1ect.com HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {3d699309-cf5b-11de-8f04-001eecd2af2f} - ntde1ect.com HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {9748c66d-c453-11de-8705-cb12c776cf90} - G:\ntde1ect.com HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {e5f248c7-7210-11df-aea5-001eecd2af2f} - E:\ciribu\\slavica.exe SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> 0ED8739B4C1574CC6EA4DCBAA354B673 URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> yandex.ru-174647 URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {DE3924E5-C493-40D7-AB1A-9D0435CA30C9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745 FF SearchPlugin: C:\Users\12\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-LKHDFDXTNHDZTQNKFAWQJECAUPIFAWTNKDYT-21.12.2015 10@10@208231539.randomname-ABWSTPLHEAWSPLHDZWTPLHCYTQLHDZ.ZUP.cbf [2015-12-21] FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\12\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack FF Extension: SuperMegaBest.com - C:\Users\12\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-12-30] [not signed] CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745" CHR Plugin: (Shockwave Flash) - C:\Users\12\AppData\Local\Google\Chrome\Application\47.0.2526.106\gcswf32.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\12\AppData\Local\Google\Chrome\Application\47.0.2526.106\pdf.dll => No File CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll => No File CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\12\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found> OPR Extension: (SuperMegaBest.com) - C:\Users\12\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-08-07] 2015-12-21 11:15 - 2015-12-21 11:15 - 00927422 _____ C:\Program Files\desk.bmp 2015-12-21 10:18 - 2015-12-21 11:15 - 00000081 _____ C:\Program Files\YFNCCGFKBD.TEL 2015-12-21 10:10 - 2015-12-21 10:10 - 00000065 _____ C:\Program Files\DAVMKGFWJN.KTD 2015-12-21 10:03 - 2015-12-21 10:03 - 00000065 _____ C:\Program Files\OIGSWQGQHJ.BGC 2015-12-21 08:44 - 2015-12-21 08:44 - 00000064 _____ C:\Program Files\JVYXLDQQJN.GIA C:\Users\12\AppData\Local\Temp\QE.EXE c:\Temp\rpchost.exe C:\Users\12\AppData\Local\Temp\explore.exe C:\Users\12\AppData\Local\Temp\hamsterarc_v.3.0.0.86_hfza_upd_1.exe C:\Users\12\AppData\Local\Temp\ipl.dll C:\Users\12\AppData\Local\Temp\iplpx.dll C:\Users\12\AppData\Local\Temp\jre-8u66-windows-au.exe C:\Users\12\AppData\Local\Temp\QE.EXE C:\Users\12\AppData\Local\Temp\rn32.dll C:\Users\12\AppData\Local\Temp\RtkBtMnt.exe C:\Users\12\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\12\AppData\Local\Temp\tmp488C.tmp.exe C:\Users\12\AppData\Local\Temp\Uninstall.exe C:\Users\12\AppData\Local\Temp\yupdate-exec-yabrowser.exe 2015-11-30 10:22 - 2013-07-09 10:49 - 06098392 _____ () C:\temp\rpchost.exe AlternateDataStreams: C:\Users\12:id AlternateDataStreams: C:\ProgramData\Temp:4220A65C AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 AlternateDataStreams: C:\ProgramData\Temp:4D066AD2 AlternateDataStreams: C:\ProgramData\Temp:798A3728 AlternateDataStreams: C:\ProgramData\Temp:A42A9F39 AlternateDataStreams: C:\ProgramData\Temp:AB689DEA AlternateDataStreams: C:\ProgramData\Temp:BB24555F AlternateDataStreams: C:\ProgramData\Temp:BF14D50A AlternateDataStreams: C:\ProgramData\Temp:D282699C AlternateDataStreams: C:\ProgramData\Temp:DAFD38AE AlternateDataStreams: C:\ProgramData\Temp:E36F5B57 AlternateDataStreams: C:\ProgramData\Temp:F3176E45 Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\temp\rpchost.exe'); TerminateProcessByName('c:\users\12\appdata\local\temp\qe.exe'); TerminateProcessByName('c:\programdata\adobe\rdp\kl.exe'); QuarantineFile('c:\temp\rpchost.exe',''); QuarantineFile('c:\users\12\appdata\local\temp\qe.exe',''); QuarantineFile('c:\programdata\adobe\rdp\kl.exe',''); DeleteFile('C:\Users\12\AppData\Local\Temp\QE.EXE','32'); DeleteFile('C:\ProgramData\Adobe\rdp\kl.exe','32'); DeleteFile('c:\Temp\rpchost.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QE Java updater'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pppoe_client'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RPCHost'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] "C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe" --type=service O4 - HKCU\..\Run: [QE Java updater] C:\Users\12\AppData\Local\Temp\QE.EXE O4 - HKCU\..\Run: [RPCHost] c:\Temp\rpchost.exe O4 - HKCU\..\Run: [pppoe_client] C:\ProgramData\Adobe\rdp\kl.exe Сделайте новые логи по правилам (только пункт 2). Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 24 декабря, 2015 Автор Share Опубликовано 24 декабря, 2015 Добрый вечер! Жаль что довел Вас до слез)). Но .. к делу. 1. fixlist.txt во вложении.. 2. Скрипт выполнил и отправил. Вот ответ. Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. kl.exe,bcqr00005.dat,bcqr00006.datПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.rpchost.exe,logsvcprov.exe,bcqr00007.dat,bcqr00008.dat - not-a-virus:RemoteAdmin.Win32.RMS.xЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.qe.exe,bcqr00009.dat,bcqr00010.dat - Trojan.Win32.Yakes.npdqДетектирование файлов будет добавлено в следующее обновление.С уважением, Лаборатория Касперского 3. Пофиксить не удалось. Ни одной из перечисленных строк не нашел.( это значит не было, я хорошо посмотрел))) ) Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 декабря, 2015 Share Опубликовано 24 декабря, 2015 Сделайте новые логи по правилам (только пункт 2). Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 24 декабря, 2015 Автор Share Опубликовано 24 декабря, 2015 Прошу прощения. Файл во вложении. CollectionLog-2015.12.24-22.06.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 24 декабря, 2015 Share Опубликовано 24 декабря, 2015 Логи просьба не паковать в архивы. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 24 декабря, 2015 Автор Share Опубликовано 24 декабря, 2015 Не вольно зауважал за Вашу увлеченность делом! Получилось три файла. Во вложении FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 декабря, 2015 Share Опубликовано 25 декабря, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CloseProcesses: CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745 CHR Extension: (Flash Player +) - C:\Users\12\AppData\Local\Google\Chrome\User Data\Default\Extensions\gbajclanpfajnmiiihhnllgfobjbhpem [2015-11-02] 2015-12-21 08:38 - 2015-12-22 22:46 - 00000000 ____D C:\Program Files\SourceForge inc 2015-12-21 11:15 - 2015-12-21 11:15 - 0153239 _____ () C:\Program Files\desk.jpg Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
kulichenko.znam 0 Опубликовано 25 декабря, 2015 Автор Share Опубликовано 25 декабря, 2015 Добрый вечер! Рекомендации выполнил файл во вложении. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.