stillwill 0 Опубликовано 13 июня, 2016 Share Опубликовано 13 июня, 2016 Здравствуйте! Проблема идентичная описанной в 11 посте этой темы, источник заражения тот же. Разница только в том, что КИС все-таки отреагировал на установку всей этой гадости, но что-то все-таки поставилось. Проверку Dr.Web CureIt и KVRT провел, нашлось то же самое, что указано в вышеупомянутой теме. Логи AutoLogger прикрепляю. Пожалуйста, помогите очистить систему, если что-то осталось! Заранее спасибо! CollectionLog-2016.06.13-12.18.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 13 июня, 2016 Share Опубликовано 13 июня, 2016 Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0} Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки? Цитата Ссылка на сообщение Поделиться на другие сайты
stillwill 0 Опубликовано 14 июня, 2016 Автор Share Опубликовано 14 июня, 2016 Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0} Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки? Да все не досуг было обновиться, к сожалению. Да и машина старенькая, не уверен был, что комфортно будет с новыми версиями. Обновлюсь обязательно, только бы убедиться, что все чисто. Вы, кстати, все-таки расскажете, как это сделать? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 Новым версиям антивируса требуется меньше ресурсов компьютера. Так что обновляйте это безобразие. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
stillwill 0 Опубликовано 14 июня, 2016 Автор Share Опубликовано 14 июня, 2016 Сделал. По поводу обновления КИС вопрос. Переходом с главной страницы Касперского попадаешь на загрузку версии 16.0.0.614, а из этой темы на загрузку версии 16.0.1.445 - 2016 MR1 (правда там ссылки для пользователей Российской федерации не открываются). Какую версию ставить? FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 июня, 2016 Share Опубликовано 14 июня, 2016 ставьте 16.0.1.445 - 2016 MR1 что в этих 2-х архивах? 2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar 2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope value is missing CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\pdf.dll => No File CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\gcswf32.dll => No File CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin6.dll => No File CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin7.dll => No File CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx S4 IntelIde; no ImagePath S3 npkycryp; \??\D:\games\l2alpha\system\npkycryp.sys [X] U1 WS2IFSL; no ImagePath 2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Program Files\uvnc bvba 2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\UltraVNC 2016-06-01 18:35 - 2016-06-01 18:35 - 00002143 _____ C:\Documents and Settings\sol\Главное меню\Программы\Интернет.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00002137 _____ C:\Documents and Settings\sol\Рабочий стол\Интернет.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Одноклассники.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Вконтакте.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Одноклассники.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Вконтакте.lnk 2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Unity 2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Amigo Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
stillwill 0 Опубликовано 14 июня, 2016 Автор Share Опубликовано 14 июня, 2016 что в этих 2-х архивах? 2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar 2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar Mozilla.rar - папка с профилем firefox, ну и всем остальным, что находится по указанному пути в одноименной папке. Нужно было профиль сохранить, т.к. вся эта эпопея началась с того, что не мог в firefox обновить персональные сертификаты. smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать. Можно пару моментов уточнить? Что означают эти три строки: S4 IntelIde; no ImagePath S3 npkycryp; \?\D:\games\l2alpha\system\npkycryp.sys [X] U1 WS2IFSL; no ImagePath И uvnc чем-то опасен? Спасибо! Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 июня, 2016 Share Опубликовано 15 июня, 2016 smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать. virustotal.com Что означают эти три строки: хвосты от каких-то служб И uvnc чем-то опасен? его папка была создана тогда же, как у вас появились проблемы.нужен - устанОвите заново с офсайта Цитата Ссылка на сообщение Поделиться на другие сайты
stillwill 0 Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 Здравствуйте! Систему, как я понимаю, можно считать чистой? Один момент неясный остался. После заражения вручную убирал из автозагрузки mailruupdater и zaxar.exe через msconfig и с того времени при включении пк или перезагрузке каждый раз запускается Настройка системы (msconfig.exe), хотя должна единожды после внесения изменений. В чем может быть проблема? Кстати, строка с zaxar.exe в автозагрузке и MailRu Update Service в службах так и остались (галочки на них не стоят). ставьте 16.0.1.445 - 2016 MR1 Хорошо! У автора этой темы КИС обновлен до 16.0.0.614(g) - обновить до 16.0.1.445 или оставить как есть? Спасибо за Вашу помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.