Elmario Опубликовано 30 апреля, 2016 Опубликовано 30 апреля, 2016 Добрый день! Пожалуйста, помогите решить следующую проблему: После скачиварния книги с неизвестного сайта на компьютере стали произвольно открываться рекламные окна. Антивирус нашел и удалил несколько вирусов с названием Artemis, но проблема не решилась. Прилагаю архив логов. Заранее спасибо за помощь! CollectionLog-2016.04.30-15.01.zip
thyrex Опубликовано 30 апреля, 2016 Опубликовано 30 апреля, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; gKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe',''); QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe',''); QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe',''); QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe',''); QuarantineFile('C:\Program Files\contentprotector\condefclean.exe',''); QuarantineFile('C:\ProgramData\SearchModule\smhe.js',''); QuarantineFile('C:\ProgramData\smp2.exe',''); QuarantineFile('C:\Program Files (x86)\QuickSearch\ksv3026.exe',''); QuarantineFile('C:\Users\Elmario\AppData\Local\bvyvavay\bvyvavay.exe',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll',''); QuarantineFile('C:\Program Files (x86)\Hostify\idscservice.exe',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll',''); QuarantineFile('C:\Users\Elmario\AppData\Roaming\ASPackage\ASPackage.exe',''); QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys',''); SetServiceStart('ContentProtectorDrv', 4); DeleteService('ContentProtectorDrv'); SetServiceStart('MPCProtectService', 4); DeleteService('MPCProtectService'); SetServiceStart('CltMngSvc', 4); DeleteService('CltMngSvc'); SetServiceStart('CloudPrinter', 4); DeleteService('CloudPrinter'); SetServiceStart('BitTorrent', 4); DeleteService('BitTorrent'); QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\vc32.dll',''); QuarantineFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Tischem.dll',''); QuarantineFile('C:\Program Files\Caster\wizzcaster.exe',''); QuarantineFile('c:\program files (x86)\mybestofferstoday\wincom_zky.exe',''); TerminateProcessByName('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe'); QuarantineFile('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe',''); TerminateProcessByName('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe'); QuarantineFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe',''); QuarantineFile('c:\program files (x86)\stream accelerator\v4.5.507241\msnpl.exe',''); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe'); QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe',''); TerminateProcessByName('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp'); QuarantineFile('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp',''); TerminateProcessByName('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe'); QuarantineFile('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe',''); TerminateProcessByName('c:\progra~2\search~1\ui\bin\cltmngui.exe'); QuarantineFile('c:\progra~2\search~1\ui\bin\cltmngui.exe',''); TerminateProcessByName('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe'); QuarantineFile('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe',''); TerminateProcessByName('c:\progra~2\search~1\searchprotect\bin\cltmng.exe'); QuarantineFile('c:\progra~2\search~1\searchprotect\bin\cltmng.exe',''); TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe'); QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe',''); TerminateProcessByName('C:\Program Files\BitTorrent\BitTorrent.exe'); QuarantineFile('C:\Program Files\BitTorrent\BitTorrent.exe',''); DeleteFile('C:\Program Files\BitTorrent\BitTorrent.exe','32'); DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32'); DeleteFile('c:\progra~2\search~1\searchprotect\bin\cltmng.exe','32'); DeleteFile('c:\program files (x86)\searchprotect\main\bin\cltmngsvc.exe','32'); DeleteFile('c:\progra~2\search~1\ui\bin\cltmngui.exe','32'); DeleteFile('c:\users\elmario\appdata\roaming\fapiculx\fapiculx.exe','32'); DeleteFile('c:\program files (x86)\2a23ad19-1461831329-ad4d-9269-d808a21af1f4\knsr4d0f.tmp','32'); DeleteFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','32'); DeleteFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Seihegoqi.exe','32'); DeleteFile('c:\users\elmario\appdata\roaming\fapiculx\tischem.exe','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\LpcManager.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Report.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Support.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\Utility.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\WinService.dll','32'); DeleteFile('C:\Program Files (x86)\MPC Cleaner\XProcessBus.dll','32'); DeleteFile('C:\Users\Elmario\AppData\Roaming\Fapiculx\Tischem.dll','32'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\vc32.dll','32'); DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32'); DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32'); DeleteFile('C:\Users\Elmario\AppData\Roaming\ASPackage\ASPackage.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32'); DeleteFile('C:\Program Files (x86)\Hostify\idscservice.exe','32'); DeleteFile('C:\Program Files (x86)\mybestofferstoday\wincom_ZKY.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WINCOMZKY'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32'); DeleteFile('C:\Users\Elmario\AppData\Local\bvyvavay\bvyvavay.exe','32'); DeleteFile('C:\Windows\system32\Tasks\bvyvavay','64'); DeleteFile('C:\Windows\system32\Tasks\ksv3026','64'); DeleteFile('C:\Program Files (x86)\QuickSearch\ksv3026.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SMW_P','64'); DeleteFile('C:\ProgramData\smp2.exe','32'); DeleteFile('C:\ProgramData\SearchModule\smhe.js','32'); DeleteFile('C:\Windows\system32\Tasks\SMW_UpdateTask_Time_323232303535323132362d232d783232575b5a34452d2a','64'); DeleteFile('C:\Windows\system32\Tasks\{4B37B992-31FB-4555-89F9-47F9A22EBD67}','64'); DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32'); DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','32'); DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32'); DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32'); DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32'); DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Elmario Опубликовано 30 апреля, 2016 Автор Опубликовано 30 апреля, 2016 Thyrex, спасибо! Прилагаю результаты. Ответ на письмо ниже. KLAN-4191316729 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. certutil.exe,nfregdrv.exe,import_root_cert.exe,contentprotectorupdate.exe,contentprotectorconrol.exe,condefclean.exe,smp2.exe,ksv3026.exe,bvyvavay.exe,MPCKpt.sys,Tischem.dll,wizzcaster.exe,tischem.exe,Seihegoqi.exe,msnpl.exe,mpcprotectservice.exe,knsr4d0f.tmp,fapiculx.exe,cloudprinter.exe,BitTorrent.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.lЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.smhe.jsВредоносный код в файле не обнаружен.VC64Loader.dll,VC32Loader.dll,vc32.dll,cltmngui.exe,cltmngsvc.exe,cltmng.exe - not-a-virus:AdWare.Win32.SearchProtect.ttwincom_zky.exe - not-a-virus:AdWare.Win32.Eorezo.gbeqЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.С уважением, Лаборатория Касперского CollectionLog-2016.04.30-16.16.zip ClearLNK-30.04.2016_16-08.log
thyrex Опубликовано 30 апреля, 2016 Опубликовано 30 апреля, 2016 Сделайте лог полного сканирования МВАМ
Elmario Опубликовано 2 мая, 2016 Автор Опубликовано 2 мая, 2016 Все удалил, прилагаю новый лог AutoLogger. Нужно ли удалить MBAM или он еще понадобится? CollectionLog-2016.05.02-11.40.zip
thyrex Опубликовано 2 мая, 2016 Опубликовано 2 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 2 мая, 2016 Опубликовано 2 мая, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: C:\Users\Elmario\AppData\Local\Temp\4RJ25EGGF2.exe C:\Users\Elmario\AppData\Local\Temp\i4jdel0.exe C:\Users\Elmario\AppData\Local\Temp\JR8P4ZKDTF.exe C:\Users\Elmario\AppData\Local\Temp\KD2TVUPNUD.exe C:\Users\Elmario\AppData\Local\Temp\tu17p84.exe C:\Users\Elmario\AppData\Local\Temp\ytb.exe CHR HomePage: Default -> hxxp://www-searching.com/?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw CHR StartupUrls: Default -> "hxxp://www-searching.com/?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw" CHR DefaultSearchURL: Default -> hxxp://www-searching.com/search.aspx?s=G4Szftpbl0cshmoAO,2cfd896f-25f6-4547-97c7-69ef6168d6f0,&prd=smw&q={searchTerms} CHR DefaultSearchKeyword: Default -> www-searching.com CHR DefaultSuggestURL: Default -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms} S2 xifs; C:\ProgramData\\xifs\\xifs.exe -f "C:\ProgramData\\xifs\\xifs.dat" -l -a 2016-04-28 18:03 - 2016-04-30 15:17 - 00000000 ____D C:\Program Files\BitTorrent 2016-04-28 18:01 - 2016-04-28 18:01 - 00000002 _____ C:\END 2016-04-28 17:58 - 2016-04-28 18:17 - 00000000 ____D C:\Program Files (x86)\QuickSearch 2016-04-28 17:59 - 2016-04-28 17:56 - 00934400 _____ C:\Users\Elmario\AppData\Roaming\Saoing.exe 2016-04-28 17:58 - 2016-04-30 15:35 - 00000000 ____D C:\Users\Elmario\AppData\Roaming\Fapiculx 2016-04-28 09:21 - 2016-05-02 10:10 - 00000000 ____D C:\Program Files (x86)\mobilepcstarterkit 2016-04-28 09:21 - 2016-04-28 09:21 - 00000000 ____D C:\ProgramData\Service1104 2016-04-28 09:21 - 2016-04-28 09:21 - 00000000 ____D C:\ProgramData\19a87fa1ec024bbcbb41931263354405 Task: {781894A8-FA42-4BE6-B71B-7E3EFFBB2497} - \{4B37B992-31FB-4555-89F9-47F9A22EBD67} -> Brak pliku <==== UWAGA Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Elmario Опубликовано 4 мая, 2016 Автор Опубликовано 4 мая, 2016 Прилагаю лог AdwCleaner. AdwCleanerS1.txt
Elmario Опубликовано 4 мая, 2016 Автор Опубликовано 4 мая, 2016 Удалил. На всякий случай прилагаю лог. AdwCleanerC1.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти