ion_ionsen Опубликовано 21 июня, 2016 Опубликовано 21 июня, 2016 Добрый день. Очередные логи от давинчи Спасибо. CollectionLog-2016.06.21-17.20.zip
mike 1 Опубликовано 21 июня, 2016 Опубликовано 21 июня, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\ddfddeddc.exe',''); TerminateProcessByName('c:\windows\lvzplatoovy.exe'); QuarantineFile('c:\windows\lvzplatoovy.exe',''); DeleteFile('c:\windows\lvzplatoovy.exe','32'); DeleteFile('C:\WINDOWS\libeay32.dll','32'); DeleteFile('C:\WINDOWS\lvzplatoovy.exe.1466525773521.dll','32'); DeleteFile('C:\WINDOWS\lvzplatoovy.exe.1466525918442.dll','32'); DeleteFile('C:\WINDOWS\ssleay32.dll','32'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\ddfddeddc.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ddfddeddc'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером.
ion_ionsen Опубликовано 22 июня, 2016 Автор Опубликовано 22 июня, 2016 повторные логи CollectionLog-2016.06.22-16.57.zip
mike 1 Опубликовано 22 июня, 2016 Опубликовано 22 июня, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
mike 1 Опубликовано 23 июня, 2016 Опубликовано 23 июня, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: 2016-06-23 12:03 - 2016-06-23 12:03 - 00171009 _____ C:\WINDOWS\uimjqubaxm.exe.1466683401595.dll 2016-06-23 12:02 - 2016-06-23 12:02 - 00171009 _____ C:\WINDOWS\lcfkggudj.exe.1466683366889.dll 2016-06-23 11:56 - 2016-06-23 11:56 - 00226305 _____ C:\WINDOWS\lavjwkxzomf.exe.1466682983363.dll 2016-06-23 11:56 - 2016-06-23 11:56 - 00171009 _____ C:\WINDOWS\lavjwkxzomf.exe.146668296354.dll 2016-06-23 11:54 - 2016-06-23 11:54 - 00226305 _____ C:\WINDOWS\uimjqubaxm.exe.1466682879249.dll 2016-06-23 11:54 - 2016-06-23 11:54 - 00226305 _____ C:\WINDOWS\lcfkggudj.exe.1466682850384.dll 2016-06-23 11:53 - 2016-06-23 11:53 - 00226476 _____ C:\WINDOWS\lavjwkxzomf.exe.1466682823251.dll 2016-06-23 11:53 - 2016-06-23 11:53 - 00198316 _____ C:\WINDOWS\lavjwkxzomf.exe.1466682828541.dll 2016-06-23 11:53 - 2016-06-23 11:53 - 00171180 _____ C:\WINDOWS\lavjwkxzomf.exe.1466682817347.dll 2016-06-23 11:53 - 2016-06-21 16:15 - 00544768 _____ C:\WINDOWS\xoofazuiup.exe 2016-06-22 17:13 - 2016-06-22 17:13 - 00198322 _____ C:\WINDOWS\lcfkggudj.exe.1466615634983.dll 2016-06-22 16:56 - 2016-06-22 16:56 - 00198145 _____ C:\WINDOWS\uimjqubaxm.exe.1466614599716.dll 2016-06-22 16:55 - 2016-06-22 16:56 - 00131236 _____ C:\WINDOWS\lavjwkxzomf.exe.1466614558245.dll 2016-06-22 16:55 - 2016-06-22 16:55 - 00171009 _____ C:\WINDOWS\lavjwkxzomf.exe.1466614508858.dll 2016-06-22 16:54 - 2016-06-22 16:54 - 00198316 _____ C:\WINDOWS\uimjqubaxm.exe.1466614474493.dll 2016-06-22 16:53 - 2016-06-22 16:53 - 00171009 _____ C:\WINDOWS\bscgvtliud.exe.1466614391341.dll 2016-06-22 16:51 - 2016-06-22 16:52 - 00171009 _____ C:\WINDOWS\uimjqubaxm.exe.1466614319867.dll 2016-06-22 16:51 - 2016-06-22 16:51 - 00171009 _____ C:\WINDOWS\lcfkggudj.exe.1466614293724.dll 2016-06-22 16:50 - 2016-06-22 16:50 - 00226305 _____ C:\WINDOWS\lavjwkxzomf.exe.1466614223570.dll 2016-06-22 16:50 - 2016-06-22 16:50 - 00226305 _____ C:\WINDOWS\bscgvtliud.exe.1466614242622.dll 2016-06-22 16:49 - 2016-06-22 16:49 - 00226305 _____ C:\WINDOWS\uimjqubaxm.exe.1466614178165.dll 2016-06-22 16:49 - 2016-06-22 16:49 - 00226305 _____ C:\WINDOWS\lcfkggudj.exe.1466614151305.dll 2016-06-22 16:48 - 2016-06-21 16:15 - 00544768 _____ C:\WINDOWS\lavjwkxzomf.exe 2016-06-22 16:37 - 2016-06-22 16:37 - 00171009 _____ C:\WINDOWS\uimjqubaxm.exe.1466613444940.dll 2016-06-22 16:37 - 2016-06-22 16:37 - 00171009 _____ C:\WINDOWS\bscgvtliud.exe.1466613468512.dll 2016-06-22 16:34 - 2016-06-22 16:35 - 00226305 _____ C:\WINDOWS\uimjqubaxm.exe.1466613297694.dll 2016-06-22 16:34 - 2016-06-22 16:34 - 00684032 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\WINDOWS\libeay32.dll 2016-06-22 16:34 - 2016-06-22 16:34 - 00150528 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\WINDOWS\ssleay32.dll 2016-06-22 16:33 - 2016-06-22 16:34 - 00226305 _____ C:\WINDOWS\bscgvtliud.exe.1466613237593.dll 2016-06-22 16:26 - 2016-06-22 16:26 - 00000013 _____ C:\Documents and Settings\LocalService\Application Data\Ky7d757rdtfygug41.ini 2016-06-22 16:26 - 2016-06-22 16:26 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\fitesimg1 2016-06-22 16:26 - 2016-06-22 16:26 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\filesbo1 2016-06-22 16:25 - 2016-06-22 16:26 - 00198145 _____ C:\WINDOWS\uimjqubaxm.exe.1466612752251.dll 2016-06-22 16:23 - 2016-06-22 16:23 - 00198316 _____ C:\WINDOWS\uimjqubaxm.exe.1466612623204.dll 2016-06-22 16:13 - 2016-06-22 16:13 - 00198322 _____ C:\WINDOWS\uimjqubaxm.exe.1466611995387.dll 2016-06-22 16:06 - 2016-06-22 16:06 - 00171009 _____ C:\WINDOWS\lcfkggudj.exe.1466611575128.dll 2016-06-22 16:05 - 2016-06-22 16:05 - 00171009 _____ C:\WINDOWS\uimjqubaxm.exe.1466611520864.dll 2016-06-22 16:03 - 2016-06-22 16:03 - 00226305 _____ C:\WINDOWS\lcfkggudj.exe.1466611428278.dll 2016-06-22 16:02 - 2016-06-23 12:09 - 00544768 _____ C:\WINDOWS\lcfkggudj.exe 2016-06-22 16:02 - 2016-06-22 16:03 - 00226305 _____ C:\WINDOWS\uimjqubaxm.exe.1466611372732.dll 2016-06-21 17:20 - 2016-06-21 17:20 - 00171009 _____ C:\WINDOWS\uimjqubaxm.exe.1466529620728.dll 2016-06-21 17:17 - 2016-06-21 17:18 - 00226305 _____ C:\WINDOWS\uimjqubaxm.exe.1466529470448.dll 2016-06-21 17:14 - 2016-06-23 12:09 - 00544768 _____ C:\WINDOWS\uimjqubaxm.exe 2016-06-21 16:40 - 2016-06-21 16:40 - 00198322 _____ C:\WINDOWS\lvzplatoovy.exe.1466527229745.dll 2016-06-21 16:16 - 2016-06-21 16:15 - 00544768 _____ C:\Documents and Settings\LocalService\Application Data\ddfddeddc.exe 2016-06-21 15:14 - 2016-06-21 15:14 - 06220854 _____ C:\Documents and Settings\User\Application Data\238CB3CD238CB3CD.bmp 2016-06-21 11:42 - 2016-06-21 15:16 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-06-21 15:14 - 2016-06-21 15:14 - 6220854 _____ () C:\Documents and Settings\User\Application Data\238CB3CD238CB3CD.bmp C:\Documents and Settings\User\Local Settings\Temp\49D0AB7A.exe zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
ion_ionsen Опубликовано 24 июня, 2016 Автор Опубликовано 24 июня, 2016 (изменено) Добрый день. Файл upload.zip загрузил Файл сохранён как 160624_102624_Upload_576ce0a09ad46.zip Размер файла 8006816 MD5 8b4724b6e711a86a7fed826675b05ae2 Fixlog.txt Изменено 24 июня, 2016 пользователем ion_ionsen
mike 1 Опубликовано 24 июня, 2016 Опубликовано 24 июня, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
mike 1 Опубликовано 24 июня, 2016 Опубликовано 24 июня, 2016 Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете). Разделы реестра: 3 Backdoor.Bifrose, HKLM\SOFTWARE\System32, , [c5fc629eecae41f5e4c53a014ab9ac54], Данные реестра: 1 PUM.Optional.DisplayHiddenFolder, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN\SHOWALL|CheckedValue, 0, Хорошо: (1), Плохо: (0),,[0eb357a98c0e78bed7d1363eae567c84] Папки: 1 Worm.AutoRun, C:\Documents and Settings\User\Local Settings\Temp\E_4, , [6061619fa3f7270f3392910c679b03fd], Файлы: 20 Worm.AutoRun, C:\WINDOWS\system32\dp1.fne, , [1fa2817f702a1e18b4eba6954fb56b95], Worm.AutoRun, C:\Documents and Settings\User\Local Settings\Temp\E_4\dp1.fne, , [e5dc7e8276249c9acbd4f744d430db25], Trojan.Banker, C:\WINDOWS\system32\com.run, , [d7eade227426ab8babf8df373bc835cb], Worm.AutoRun, C:\WINDOWS\system32\eAPI.fne, , [8a3797692e6c7bbb018d20f8659e35cb], Trojan.Agent, C:\WINDOWS\system32\krnln.fnr, , [5f6242be75253cfa7a55bf5a57aca65a], Worm.AutoRun, C:\WINDOWS\system32\og.dll, , [fdc4f10f4159270f477d2feb986b9d63], Worm.AutoRun, C:\WINDOWS\system32\og.EDT, , [972a6b95891125117f4627f3946f43bd], Worm.AutoRun, C:\WINDOWS\system32\RegEx.fnr, , [338e2ed27f1b211550cda07b8d760df3], Worm.AutoRun, C:\WINDOWS\system32\ul.dll, , [6a57d32ddbbfe84e2a46cb518a7929d7], Spyware.Agent, C:\Documents and Settings\User\Local Settings\Temp\E_4\krnln.fnr, , [d8e9808014862214526e62bc16eda45c], Worm.AutoRun, C:\Documents and Settings\User\Local Settings\Temp\E_4\com.run, , [6061619fa3f7270f3392910c679b03fd], Worm.AutoRun, C:\Documents and Settings\User\Local Settings\Temp\E_4\eAPI.fne, , [6061619fa3f7270f3392910c679b03fd], Worm.AutoRun, C:\Documents and Settings\User\Local Settings\Temp\E_4\RegEx.fnr, , [6061619fa3f7270f3392910c679b03fd], Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").
ion_ionsen Опубликовано 24 июня, 2016 Автор Опубликовано 24 июня, 2016 (изменено) карантин Malwarebytes Изменено 24 июня, 2016 пользователем mike 1 Карантин в теме
mike 1 Опубликовано 24 июня, 2016 Опубликовано 24 июня, 2016 Карантин я не просил выкладывать в теме. Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525, если есть лицензия конечно.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти