Лилия Опубликовано 25 мая, 2016 Опубликовано 25 мая, 2016 Доброго времени суток, прошу помощи.На ноуте появились трояны и куча всякой другой дряни. DrWeb Cureit и Kaspersky Virus Removal Tool удалили в общем более 7000 файлов, но вирус, вижу, продолжает сидеть. CollectionLog-2016.05.25-18.00.zip
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 (изменено) Здравствуйте! Запуск ComboFix без специального указания и наблюдения мог привести к плачевным результатам. Если сохранился C:\ComboFix.txt - приложите к следующему сообщению. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe'); StopService('MPCKpt'); StopService('MPCProtectService'); QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys',''); QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe',''); QuarantineFile('C:\ProgramData\smp2.exe', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', ''); QuarantineFile('C:\Users\GYPNORY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', ''); DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32'); DeleteFile('C:\ProgramData\smp2.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true); DeleteService('MPCKpt'); DeleteService('MPCProtectService'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 26 мая, 2016 пользователем Sandor 1
Лилия Опубликовано 26 мая, 2016 Автор Опубликовано 26 мая, 2016 (изменено) Всё сделала, надеюсь без ошибок. KLAN-4334579589 Hello,[/size] This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. [/size] MPCKpt.sys,[/size] mpcprotectservice.exe,[/size] smp2.exe,[/size] Google Chrome.lnk,[/size] Launch Internet-Explorer Browser.lnk,[/size] Mail.Ru.lnk,[/size] Internet Explorer.lnk,[/size] Internet Explorer (No Add-ons).lnk[/size] A set of unknown files has been received. They will be sent to the Virus Lab.[/size] Извините, двойные прикрепились ComboFix.txt ClearLNK-26.05.2016_09-07.log ClearLNK-26.05.2016_09-07.log ComboFix.txt CollectionLog-2016.05.26-09.54.zip Изменено 26 мая, 2016 пользователем Sandor
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 Деинсталлируйте ComboFix: Скачайте OTCleanIt, запустите, нажмите Clean up. Затем: Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
Лилия Опубликовано 26 мая, 2016 Автор Опубликовано 26 мая, 2016 сделала FRST.txt Addition.txt Shortcut.txt
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txtЭто тоже покажите. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe HKU\S-1-5-21-3835073586-2559468877-1791340666-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF NewTab: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm FF Homepage: hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB34mAn0oA0..&v=20160523&uid=D6BF98CB99BA5EFB74BA7E12A27502C3&ptid=epf1&mode=loadm FF Extension: GsearchFinder - C:\Users\GYPNORY\AppData\Roaming\Profiles\2moqr9as.default\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-05-23] CHR StartupUrls: ChromeDefaultData -> R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-05-25] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-05-25] (DotC United Inc) 2016-05-26 10:33 - 2016-05-26 10:33 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC 2016-05-25 11:50 - 2016-05-25 11:50 - 00000000 ____D C:\Program Files\Common Files\Noobzo 2016-05-25 11:48 - 2016-05-25 16:45 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner 2016-05-25 11:48 - 2016-05-25 11:48 - 00060136 ____N (DotC United Inc) C:\Windows\system32\Drivers\MPCKpt.sys 2016-05-24 23:55 - 2016-05-24 23:55 - 00060136 _____ C:\Windows\system32\Drivers\MPCKpt.sys.delete_on_reboot.1759d3 Task: {89F009F3-7297-4D83-98B2-6C9238B85C15} - \TebeInteresno -> No File <==== ATTENTION Task: {D03B7B83-C5B1-4703-8859-6BD910B31C6E} - \rde3028 -> No File <==== ATTENTION EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1
Лилия Опубликовано 26 мая, 2016 Автор Опубликовано 26 мая, 2016 извините, досылаю сделано AdwCleanerC1.txt AdwCleanerC1.txt Fixlog.txt
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. 1
Лилия Опубликовано 26 мая, 2016 Автор Опубликовано 26 мая, 2016 сделано GYPNORY-ПК_2016-05-26_11-25-02.7z
Sandor Опубликовано 26 мая, 2016 Опубликовано 26 мая, 2016 Следующую операцию выполните в безопасном режиме. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCTRAY64.EXE bl 5ACE81B129C60E4EA76B09AF3310FA30 105952 addsgn BA6F9BB2BD6D48720B9C2D754C219CF9DA75303AC173535C8D8B4450D8D6714C6B9ACEFE25559DB63E838F9F465AC2E7E9C3E8721953EC08753297EF8F8B7657 8 MPC zoo %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPC.EXE bl 65BB43F2E4A2636D120FFCA9E1908906 167392 addsgn 1A79729A5583948EF42B51945C0A5205DAAFC834C9FAE05DB50185BCAFF35D8E63173C721697DD49D4A56C5D0616B6DF5D1DA872AAFFACEE6D775B0ADFC46273 8 MPC delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/ delref %SystemDrive%\USERS\GYPNORY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU chklst delvir deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Из обычного режима повторите контрольный образ автозапуска uVS.
Лилия Опубликовано 26 мая, 2016 Автор Опубликовано 26 мая, 2016 отослала архив ZOO_2016............сделала лог uvs GYPNORY-ПК_2016-05-26_14-19-34.7z
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти