chyb74 Опубликовано 23 декабря, 2015 Опубликовано 23 декабря, 2015 Доброго времени суток! Куча вирусов на буке, посмотрите пожалуйста что сделать?
Mark D. Pearlstone Опубликовано 23 декабря, 2015 Опубликовано 23 декабря, 2015 Порядок оформления запроса о помощи
chyb74 Опубликовано 23 декабря, 2015 Автор Опубликовано 23 декабря, 2015 Доброго времени суток! Куча вирусов на буке, посмотрите пожалуйста что сделать? файл больше 5 метров что сделать? вот логи CollectionLog-2015.12.23-20.59.zip
Roman_Five Опубликовано 23 декабря, 2015 Опубликовано 23 декабря, 2015 файл больше 5 метров что сделать? это автокарантин, вероятно.ничего.
chyb74 Опубликовано 23 декабря, 2015 Автор Опубликовано 23 декабря, 2015 в папке куда скачивал должен быть архив? в папке куда скачивал должен быть архив? или ещё раз проще сделать лог? это тот лог который надо? CollectionLog-2015.12.23-20.59.zip
Roman_Five Опубликовано 23 декабря, 2015 Опубликовано 23 декабря, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению.
chyb74 Опубликовано 23 декабря, 2015 Автор Опубликовано 23 декабря, 2015 отчет забываю загрузить, извиняюсь ClearLNK-23.12.2015_21-35.log
Roman_Five Опубликовано 23 декабря, 2015 Опубликовано 23 декабря, 2015 ((действительно, много адваре. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\admin\appdata\local\zetagamesnews\zeta.exe'); TerminateProcessByName('c:\program files\sound+\sound+.exe'); TerminateProcessByName('c:\users\admin\appdata\local\205e18c0-1450832280-11b2-8000-9f1d6ea6b5ee\snshd54b.tmp'); TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe'); TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe'); TerminateProcessByName('c:\program files (x86)\oursoft\oursoft.exe'); TerminateProcessByName('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe'); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpctray.exe'); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe'); TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\knsb4ee5.tmpfs'); TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\jnsl70ad.tmp'); TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp'); TerminateProcessByName('c:\users\admin\appdata\roaming\daemon2.exe'); TerminateProcessByName('C:\Users\admin\AppData\Local\Con-trans.exe'); SetServiceStart('5F375FE', 4); SetServiceStart('4F9779456D295912', 4); SetServiceStart('4F96753D5D04591A', 4); SetServiceStart('4F964E9F73582212', 4); SetServiceStart('4F964E91E1D60392', 4); SetServiceStart('4F964DDC54419412', 4); SetServiceStart('4F9648066DFD76F2', 4); SetServiceStart('44A86D0', 4); SetServiceStart('3C46AB0', 4); SetServiceStart('316D82B', 4); SetServiceStart('MPCKpt', 4); SetServiceStart('Bamcof', 4); SetServiceStart('Bioplus', 4); SetServiceStart('FinwarmSvc', 4); SetServiceStart('woforemu', 4); SetServiceStart('WindowsMangerProtect', 4); SetServiceStart('upuate', 4); SetServiceStart('rizyqibe', 4); SetServiceStart('MPCProtectService', 4); SetServiceStart('lytivysi', 4); SetServiceStart('HHandler Service', 4); StopService('wStLibG64'); StopService('5F375FE'); StopService('4F9779456D295912'); StopService('4F96753D5D04591A'); StopService('4F964E9F73582212'); StopService('4F964E91E1D60392'); StopService('4F964DDC54419412'); StopService('4F9648066DFD76F2'); StopService('44A86D0'); StopService('3C46AB0'); StopService('316D82B'); StopService('MPCKpt'); StopService('Bamcof'); StopService('Bioplus'); StopService('FinwarmSvc'); StopService('woforemu'); StopService('WindowsMangerProtect'); StopService('upuate'); StopService('rizyqibe'); StopService('MPCProtectService'); StopService('lytivysi'); StopService('HHandler Service'); QuarantineFile('C:\Users\admin\appdata\roaming\aspackage\aspackage.exe',''); QuarantineFile('C:\Users\admin\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Program Files (x86)\ZetaGames\Upd.exe',''); QuarantineFile('C:\Users\admin\AppData\Roaming\Steam\Reversed\steam.exe',''); QuarantineFile('C:\Program Files (x86)\Window Update\task Update\task.exe',''); QuarantineFile('C:\Users\admin\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Users\admin\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\admin\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\ProgramData\oAMEQcOChUwnhz\ZpHsOdlrWZl5.bat',''); QuarantineFile('C:\ProgramData\wqChccQd\drnIpTBrX0.bat',''); QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe',''); QuarantineFile('C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe',''); QuarantineFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe',''); QuarantineFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe',''); QuarantineFile('C:\Windows\TEMP\316D82B.sys',''); QuarantineFile('C:\Windows\TEMP\3C46AB0.sys',''); QuarantineFile('C:\Windows\TEMP\44A86D0.sys',''); QuarantineFile('C:\Windows\TEMP\49A0A71.sys',''); QuarantineFile('C:\Windows\TEMP\3B22D42.sys',''); QuarantineFile('C:\Windows\TEMP\4176A06.sys',''); QuarantineFile('C:\Windows\TEMP\4184F9C.sys',''); QuarantineFile('C:\Windows\TEMP\28C0DDE8E9.sys',''); QuarantineFile('C:\Windows\TEMP\401ED5E.sys',''); QuarantineFile('C:\Windows\TEMP\5F375FE.sys',''); QuarantineFile('C:\Windows\system32\drivers\wStLibG64.sys',''); QuarantineFile('C:\Users\admin\AppData\Local\Temp\pjOBTx\runner.exe',''); QuarantineFile('C:\Program Files\Bioplus\bioplus.exe',''); QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe',''); QuarantineFile('C:\Windows\TEMP\1563266A.sys',''); QuarantineFile('C:\Windows\system32\drivers\968B909.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys',''); QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\{866EEE86-C006-8079-2C2D-0FFAA1EE434A}.dat',''); QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\VideoLogo.dll',''); QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\iglqh.dll',''); QuarantineFile('C:\Program Files (x86)\MPC Cleaner\*',''); QuarantineFile('c:\users\admin\appdata\local\zetagamesnews\zeta.exe',''); QuarantineFile('c:\program files\sound+\sound+.exe',''); QuarantineFile('c:\users\admin\appdata\local\205e18c0-1450832280-11b2-8000-9f1d6ea6b5ee\snshd54b.tmp',''); QuarantineFile('d:\games\Пегас\аикери\ПКАЕПИВ\simс\Новая папка\Соонтрааааа\counter-strike source\run_css.exe',''); QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe',''); QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe',''); QuarantineFile('c:\program files (x86)\oursoft\oursoft.exe',''); QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe',''); QuarantineFile('c:\program files (x86)\mpc cleaner\mpctray.exe',''); QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe',''); QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\knsb4ee5.tmpfs',''); QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\jnsl70ad.tmp',''); QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp',''); QuarantineFile('c:\users\admin\appdata\roaming\daemon2.exe',''); QuarantineFile('C:\Users\admin\AppData\Local\Con-trans.exe',''); DeleteFile('C:\Users\admin\AppData\Local\Con-trans.exe','32'); DeleteFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp','32'); DeleteFile('c:\program files (x86)\mpc cleaner\mpctray.exe','32'); DeleteFileMask('C:\Program Files (x86)\MPC Cleaner\','*', true, ''); DeleteDirectory ('C:\Program Files (x86)\MPC Cleaner\',); DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\iglqh.dll','32'); DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\VideoLogo.dll','32'); DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\{866EEE86-C006-8079-2C2D-0FFAA1EE434A}.dat','32'); DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32'); DeleteFile('C:\Windows\TEMP\1563266A.sys','32'); DeleteFile('C:\Program Files (x86)\Oursoft\Oursoft.exe','32'); DeleteFile('C:\Program Files (x86)\205E18C0-1450814153-11B2-8000-9F1D6EA6B5EE\knsb4EE5.tmpfs','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32'); DeleteFile('C:\Program Files (x86)\205E18C0-1450814153-11B2-8000-9F1D6EA6B5EE\jnsl70AD.tmp','32'); DeleteFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe','32'); DeleteFile('C:\Users\admin\AppData\Local\205E18C0-1450832280-11B2-8000-9F1D6EA6B5EE\snshD54B.tmp','32'); DeleteFile('C:\ProgramData\Bamcof\Bamcof.exe','32'); DeleteFile('C:\Program Files\Bioplus\bioplus.exe','32'); DeleteFile('C:\Users\admin\AppData\Local\Temp\pjOBTx\runner.exe','32'); DeleteFile('C:\Windows\TEMP\5F375FE.sys','32'); DeleteFile('C:\Windows\TEMP\401ED5E.sys','32'); DeleteFile('C:\Windows\TEMP\28C0DDE8E9.sys','32'); DeleteFile('C:\Windows\TEMP\4184F9C.sys','32'); DeleteFile('C:\Windows\TEMP\4176A06.sys','32'); DeleteFile('C:\Windows\TEMP\3B22D42.sys','32'); DeleteFile('C:\Windows\TEMP\49A0A71.sys','32'); DeleteFile('C:\Windows\TEMP\44A86D0.sys','32'); DeleteFile('C:\Windows\TEMP\3C46AB0.sys','32'); DeleteFile('C:\Windows\TEMP\316D82B.sys','32'); DeleteFile('C:\Program Files (x86)\rec_en_77\rec_en_77.exe','32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32'); DeleteFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\admin\AppData\Local\ZetaGamesNews\zeta.exe','32'); DeleteFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','32'); DeleteFile('C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe','32'); DeleteFile('C:\Program Files\Sound+\Sound+.exe','32'); DeleteFile('C:\ProgramData\wqChccQd\drnIpTBrX0.bat','32'); DeleteFile('C:\ProgramData\oAMEQcOChUwnhz\ZpHsOdlrWZl5.bat','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_admin.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_admin.job','32'); DeleteFile('C:\Users\admin\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\admin\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_admin','64'); DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_admin','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); DeleteFile('C:\Windows\system32\Tasks\task Update','64'); DeleteFile('C:\Windows\system32\Tasks\Video Logo','64'); DeleteFile('C:\Program Files (x86)\Window Update\task Update\task.exe','32'); DeleteFile('C:\Users\admin\AppData\Roaming\Steam\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Video Logo2','64'); DeleteFile('C:\Windows\system32\Tasks\ZetaUpdate','64'); DeleteFile('C:\Program Files (x86)\ZetaGames\Upd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{0EFB1E0E-7607-4F0B-A95C-249D190FE6B2}','64'); DeleteFile('C:\Users\admin\appdata\local\smartweb\__u.exe','32'); DeleteFile('C:\Users\admin\appdata\roaming\aspackage\aspackage.exe','32'); DeleteFile('C:\Users\admin\appdata\roaming\daemon2.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_en_77'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZetaGamesNews'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoadLeader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZetaGames'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound+'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clownfish','command'); DeleteService('5F375FE'); DeleteService('4F9779456D295912'); DeleteService('4F96753D5D04591A'); DeleteService('4F964E9F73582212'); DeleteService('4F964E91E1D60392'); DeleteService('4F964DDC54419412'); DeleteService('4F9648066DFD76F2'); DeleteService('44A86D0'); DeleteService('3C46AB0'); DeleteService('316D82B'); DeleteService('MPCKpt'); DeleteService('Bamcof'); DeleteService('Bioplus'); DeleteService('FinwarmSvc'); DeleteService('woforemu'); DeleteService('WindowsMangerProtect'); DeleteService('upuate'); DeleteService('rizyqibe'); DeleteService('MPCProtectService'); DeleteService('lytivysi'); DeleteService('HHandler Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O4 - HKLM\..\Run: [rec_en_77] "C:\Program Files (x86)\rec_en_77\rec_en_77.exe" O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" O4 - HKCU\..\Run: [amigo] C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe --no-startup-windower-Strike Source\run_css.exe" autorun O4 - HKCU\..\Run: [ZetaGamesNews] C:\Users\admin\AppData\Local\ZetaGamesNews\zeta.exe O4 - HKCU\..\Run: [Daemon] "C:\Users\admin\AppData\Roaming\daemon2.exe" O4 - HKCU\..\Run: [LoadLeader] C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe O4 - HKCU\..\Run: [ZetaGames] "C:\Program Files (x86)\ZetaGames\ZetaGames.exe" /hide O4 - Startup: SmartWeb.lnk = admin\AppData\Local\SmartWeb\SmartWebHelper.exe O8 - Extra context menu item: Скачать с Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm Сделайте новые логи по правилам (только пункт 2). + логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти