newlogi Опубликовано 8 апреля, 2016 Опубликовано 8 апреля, 2016 Доброго времени суток! Появилась проблема с появлением окон. Окна с рекламой открываются примерно через пару минут после включения компьютера. Штатный Касперский выявляет 23 подозрительных процесса, по запросу устраняет их, но окна продолжают появляться. Причину появления заразы выяснить не удалось. В Диспетчере задач удалось выявить процесс относящийся к этим рекламкам, это процесс "nw.exe" После его завершения окошки пропадают, но не на долго. CureIT, запущенный в Безопасном режиме, придушил несколько троянов, но после перезагрузки ничего не изменилось. Архив AutoLogger во вложении. Заранее благодарю! CollectionLog-2016.04.08-15.32.zip
thyrex Опубликовано 8 апреля, 2016 Опубликовано 8 апреля, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\USER\AppData\Local\SystemMonitor2016\738903114.exe',''); QuarantineFile('C:\Users\USER\AppData\Local\Hostinstaller\738903114_monster.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Program Files (x86)\badu\uc.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IDSCPRODUCT'); DeleteFile('C:\Users\USER\AppData\Local\Hostinstaller\738903114_monster.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\USER\AppData\Local\SystemMonitor2016\738903114.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SystemMonitor2016','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1
newlogi Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 Добрый день! Пришел ответ от newvirus@kaspersky.com: "Вредоносный код в файле не обнаружен." KLAN-4072708066 Заново сканирую систему CureIT! в Безопасном режиме. Сразу после выложу лог по Правилам.
newlogi Опубликовано 12 апреля, 2016 Автор Опубликовано 12 апреля, 2016 Проблема не ушла. В "Программы и компоненты" обнаружены и удалены следующие неизвестные программы SunnyDay, Unity Web Player, SpaceSoundPro. Последняя была обнаружена CureIT! как вредоносная. Новый лог во вложении. CollectionLog-2016.04.12-18.09.zip
thyrex Опубликовано 12 апреля, 2016 Опубликовано 12 апреля, 2016 В "Программы и компоненты" обнаружены и удалены следующие неизвестные программы SunnyDay, Unity Web Player, SpaceSoundPro.Удалите их Сделайте лог полного сканирования МВАМ 1
newlogi Опубликовано 13 апреля, 2016 Автор Опубликовано 13 апреля, 2016 Добрый день! Программу MBAM установил по инструкции, но Проверка обновлений не удается. Пишет "Не удается подключиться к серверу обновлений" Версия базы данных: v2016.02.16.06 Имеет смысл сканировать на старых базах???
newlogi Опубликовано 13 апреля, 2016 Автор Опубликовано 13 апреля, 2016 (изменено) После сканирования системы MBAM обнаружено 883 угрозы. Окно сканера пока не закрываю. Но так и тянет нажать на огромную синюю кнопку "Удалить выбранное" ))) Выкладываю зопрошенный лог MBAM mbamlog_130416.txt Изменено 13 апреля, 2016 пользователем newlogi
newlogi Опубликовано 13 апреля, 2016 Автор Опубликовано 13 апреля, 2016 Благодарю! Рекламные окна больше не появляются. Из видимых проблем после лечения пока обнаружились следующие: 1) программа NVIDIA GeFors Exptrience уведомляет о наличие обновлений, но при попытке обновиться выдает ошибку и закрывается. 2) Internet Explorer после запуска пытается открыться с домашней страницы www.yandex.ru, но выдает ошибку пытается закрыться, но снова выдает ошибку, на третью попытку закрыться выдает страницу с сообщением о невозможности открыть стартовую страницу. При этом если открыть соседнюю вкладку, то из адресной строки можно открыть любой сайт. Если позволите, скрины ошибок приложу к посту. Пришлось отключить все Надстройки Internet Explorer кроме надстроек Касперского, а так же удалить все ускорители и службы поиска. После этих манипуляций Internet Explorer стал запускаться с домашней страници Яндекс. Может подскажете как удалить из Надстроек Internet Explorer все ненужные Надстройки. Спасибо. Если есть необходимость, готов подготовить новые логи.
thyrex Опубликовано 13 апреля, 2016 Опубликовано 13 апреля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. 1
newlogi Опубликовано 14 апреля, 2016 Автор Опубликовано 14 апреля, 2016 Представляю лог FRST (2 файла в архиве) FRSTarchiv.7z
thyrex Опубликовано 14 апреля, 2016 Опубликовано 14 апреля, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: S2 ContentProtector; "C:\Program Files\ContentProtector\ContentProtector.exe" [X] S2 ContentProtectorUpdate; "C:\Program Files\ContentProtector\ContentProtectorUpdate.exe" [X] S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X] 2016-03-24 21:30 - 2016-04-07 21:21 - 00000000 ____D C:\Users\USER\AppData\Local\SystemMonitor2016 2016-03-19 09:18 - 2016-04-12 18:09 - 00000000 ____D C:\Users\USER\AppData\Local\app 2016-03-19 09:17 - 2016-04-07 19:16 - 00000000 ____D C:\Program Files\ContentProtector 2016-03-19 09:15 - 2016-04-12 14:11 - 00000000 ____D C:\Program Files\SpaceSoundPro 2016-03-19 09:15 - 2016-04-07 19:15 - 00000000 ____D C:\Program Files (x86)\badu 2016-03-19 09:15 - 2016-03-19 09:28 - 00000000 ____D C:\Users\USER\AppData\Local\34444335-1458382537-3531-5152-8CDCD47F7B31 2016-03-19 09:14 - 2016-03-19 09:14 - 00000000 _____ C:\Windows\SysWOW64\Number of results 2016-03-18 20:31 - 2016-04-02 00:08 - 00000000 ____D C:\Program Files (x86)\34444335-1458322312-3531-5152-8CDCD47F7B31 2016-03-18 20:29 - 2016-04-07 21:23 - 00000000 ____D C:\Users\USER\AppData\Roaming\YSearcher 2016-03-18 20:29 - 2016-04-07 21:18 - 00000000 ____D C:\Users\USER\AppData\Local\Hostinstaller 2016-03-18 20:29 - 2016-03-18 20:29 - 00000000 ____D C:\Users\Все пользователи\TimeTasks 2016-03-18 20:29 - 2016-03-18 20:29 - 00000000 ____D C:\ProgramData\TimeTasks Task: {1931C02F-DA57-4637-8960-F27F1ABAF233} - \SystemMonitor2016 -> No File <==== ATTENTION Task: {F20164D5-E680-4A95-827D-3082BCBA2924} - \Soft installer -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. 1
newlogi Опубликовано 14 апреля, 2016 Автор Опубликовано 14 апреля, 2016 Запрошенный лог во вложении Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти