raider.bor@mail.ru Опубликовано 13 января, 2016 Опубликовано 13 января, 2016 Здравствуйте. У меня таже проблемма. Ноутбук проверил Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt. Вот логи. Помогите пожалуйста. Addition+FRSTCollectionLog-2016.01.13-15.35.zip Addition+FRST.rar
thyrex Опубликовано 13 января, 2016 Опубликовано 13 января, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat',''); DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\windows\system32\Tasks\chrome5','32'); DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
raider.bor@mail.ru Опубликовано 14 января, 2016 Автор Опубликовано 14 января, 2016 c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat',''); DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\windows\system32\Tasks\chrome5','32'); DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.1. Распакуйте архив с утилитой в отдельную папку.2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.4. Прикрепите этот отчет к своему следующему сообщению.Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) а где взять номер номера KLAN?
mike 1 Опубликовано 14 января, 2016 Опубликовано 14 января, 2016 В заголовке ответного письма. Где новые логи Автологгера?
raider.bor@mail.ru Опубликовано 14 января, 2016 Автор Опубликовано 14 января, 2016 В заголовке ответного письма. Где новые логи Автологгера? понял почту тоже отправил (c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com) пришло письмо от каспера: quarantine.zip Этот файл повреждён. вторая часть скрипта отработала с ошибкой, quarantine.zip пустой. прилагаю два фото ClearLNK-14.01.2016_09-14.log CollectionLog-2016.01.14-09.41.zip
raider.bor@mail.ru Опубликовано 14 января, 2016 Автор Опубликовано 14 января, 2016 Удалил антивирус Сezurity, Outpost Firewall pro. Попробовал собрать логи еще раз Выполнил скрипт в AVZbeginCreateQurantineArchive('c:\quarantine.zip');end. -прошло без ошибки -quarantine.zip пустой Еще хочу сказать, что ноутбук нормально не выключается. Может дело в этом. После завершения работы появляется "завершение работы и настройка параметров системы".Но не зависает. В безопасном режиме перегружается нормально. Все не системные процессы отключены в автозагрузке.
Sandor Опубликовано 14 января, 2016 Опубликовано 14 января, 2016 Для того, чтобы выполнить указанный скрипт, не нужно запускать автологгер. Вот инструкция. Но повторять уже не нужно. Подготовьте лог сканирования MBAM.
raider.bor@mail.ru Опубликовано 14 января, 2016 Автор Опубликовано 14 января, 2016 Все равно quarantine.zip пустой. На newvirus@kaspersky.com отсылать нечего. Лог Mbam сразу выложу
raider.bor@mail.ru Опубликовано 15 января, 2016 Автор Опубликовано 15 января, 2016 Все равно quarantine.zip пустой. На newvirus@kaspersky.com отсылать нечего. Лог Mbam сразу выложу подскажите что мне делать с quarantine.zip mbam.txt
Sandor Опубликовано 15 января, 2016 Опубликовано 15 января, 2016 что мне делать с quarantine.zip Раз карантин пустой, то и делать ничего не нужно. Удалите все, найденное MBAM. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
raider.bor@mail.ru Опубликовано 15 января, 2016 Автор Опубликовано 15 января, 2016 найденное удалил, вот отчет извиняюсь в предыдущем отчете поставил галочку на параметре "90 Days Files" отсканировал по новому архив 5 без параметра "90 Days Files" 4.rar 5.rar
Sandor Опубликовано 15 января, 2016 Опубликовано 15 января, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: IObit Unlocker Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-3829145886-4170465736-3822527919-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: No Name - C:\Program Files\BetterSurf\BetterSurfPlus\ff [not found] FF Extension: No Name - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha246\ff [not found] FF Extension: No Name - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta261\ff [not found] FF Extension: No Name - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha451\ff [not found] FF Extension: No Name - C:\Program Files\MediaWatchV1\MediaWatchV1home880\ff [not found] FF Extension: No Name - C:\Users\Поиск\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [not found] CHR Plugin: (Conduit Chrome Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll => No File CHR Plugin: (Conduit Radio Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/np-cwmp.dll => No File 2016-01-09 19:03 - 2016-01-13 12:51 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\OdnUqnxVqtAcmfpq4n 2016-01-09 17:39 - 2016-01-09 17:40 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\Mobogenie 2016-01-09 17:39 - 2016-01-09 17:39 - 00000000 ____D C:\Users\Поиск\mobogenieP2sp 2016-01-09 16:49 - 2016-01-14 08:25 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\WindowsUpdater 2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\LocalLow\Unity 2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\Local\Unity 2016-01-09 16:48 - 2016-01-09 16:48 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\MailProducts 2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Users\Все пользователи\IObit 2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\ProgramData\IObit 2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Program Files\IObit 2016-01-09 18:00 - 2013-11-16 21:00 - 00000000 ____D C:\Users\Поиск\Documents\Mobogenie 2016-01-09 17:59 - 2015-05-06 15:10 - 00000000 ____D C:\Users\Поиск\AppData\Local\Amigo C:\Users\Поиск\AppData\Local\Temp\AmigoDistrib.exe C:\Users\Поиск\AppData\Local\Temp\DPInstx64.exe C:\Users\Поиск\AppData\Local\Temp\DPInstx86.exe C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx64.exe C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx86.exe C:\Users\Поиск\AppData\Local\Temp\dskinengine.dll C:\Users\Поиск\AppData\Local\Temp\exereader.exe C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch (1).exe C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch.exe C:\Users\Поиск\AppData\Local\Temp\InstHelp.dll C:\Users\Поиск\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\Поиск\AppData\Local\Temp\MobogenieSetup.exe C:\Users\Поиск\AppData\Local\Temp\op_install.dll C:\Users\Поиск\AppData\Local\Temp\OS_Detect.exe C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall.exe C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall_x64.exe C:\Users\Поиск\AppData\Local\Temp\QQPCMgr_Setup.exe C:\Users\Поиск\AppData\Local\Temp\runprog.exe C:\Users\Поиск\AppData\Local\Temp\sender.exe C:\Users\Поиск\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\Поиск\AppData\Local\Temp\UmmyVideoDownloader.exe C:\Users\Поиск\AppData\Local\Temp\Uninstall.exe C:\Users\Поиск\AppData\Local\Temp\w7_gui.dll C:\Users\Поиск\AppData\Local\Temp\xp_gui.dll C:\Users\Поиск\AppData\Local\Temp\YandexWorking.exe C:\Users\Поиск\AppData\Local\Temp\yupdate-exec-yabrowser.exe Task: {277E7D9B-B636-4C4C-9FD4-017354F690A7} - \APSnotifierPP3 -> No File <==== ATTENTION Task: {49EB9408-5F26-427F-9119-D1E7010FCC08} - \APSnotifierPP2 -> No File <==== ATTENTION Task: {524EDD10-3ED6-4898-99F3-233FE02B772C} - \advSRS4 -> No File <==== ATTENTION Task: {61122169-DA76-4322-978C-2BD79588E1EA} - \APSnotifierPP1 -> No File <==== ATTENTION Task: {82B6A7AE-4CD6-4978-96CE-AE748F0AA26E} - \{EFC473F0-116B-4F2E-BB55-8032E61397AD} -> No File <==== ATTENTION Task: {A3896491-88AC-463A-9601-5BE6B8AE1CC7} - \chrome5 -> No File <==== ATTENTION Task: {DCAAC1FC-33E9-4F52-BE5F-686F329976BB} - \chrome5_logon -> No File <==== ATTENTION AlternateDataStreams: C:\Users\Поиск\Local Settings:wa AlternateDataStreams: C:\Users\Поиск\AppData\Local:wa AlternateDataStreams: C:\Users\Поиск\AppData\Local\Application Data:wa FirewallRules: [{65DB7A01-8A4F-42CE-8165-B3DF84C79A65}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe FirewallRules: [{2E9E2999-69B2-4AED-A339-C31E686182BD}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве.
raider.bor@mail.ru Опубликовано 15 января, 2016 Автор Опубликовано 15 января, 2016 IObit Unlocker удалил Fixlog.txt
raider.bor@mail.ru Опубликовано 15 января, 2016 Автор Опубликовано 15 января, 2016 Спасибо за попытку
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти