Амиго и компания

10 июля, 2016

Здравствуйте.

Как выглядит сейчас картина:

Если часы показывают время 23:40 и запущен любой браузер, начинают скачиваться непонятные файлы в духе буквыцифры.temp.exe через 2 минуты, на панели быстрого доступа появляется весь букет: "Амиго,Одноклассники,ВК,музыка амиго,яндекс"

Касперский со свежими базами молчит как рыба.

adwcleaner_5.201 в 23:39 говорит что всё ОК, в 23:45 находит кучу вредностей и лечит, перевожу время обратно и та же история.

Помогите, пожалуйста)

Читал эту тему : http://forum.kasperskyclub.ru/index.php?showtopic=50929вроде переделал скрипт под себя. но ничего не нашлось.

Сейчас исправлю обращение) секунду)

CollectionLog-2016.07.12-23.48.zip

Загрузка не удалась. Пожалуйста сообщите об этом администрации форума.

что делать?)

Изменено 10 июля, 2016 пользователем Роман Голиков

10 июля, 2016

Нельзя выполнять чужие скрипты, а тем более что-то там менять в них. Это может послужить основанием в отказе вам в помощи.

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

10 июля, 2016

Нельзя выполнять чужие скрипты, а тем более что-то там менять в них. Это может послужить основанием в отказе вам в помощи.

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

больше не буду тогда) прошу прощения.

вставить файл с логом мне форум не дает почему-то.

10 июля, 2016

Вставляете через кнопку "Расширенная форма"?

10 июля, 2016

о чудо.

Значит установленный "букет" запрещает чтото в браузере)

Вот лог.

CollectionLog-2016.07.12-23.48.zip

10 июля, 2016

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\flay\appdata\local\temp\9645.tmp.exe');
 StopService('gkernel');
 QuarantineFile('c:\users\flay\appdata\local\temp\9645.tmp.exe', '');
 QuarantineFile('C:\Users\flay\AppData\Local\Temp\gkernel.sys', '');
 DeleteFile('c:\users\flay\appdata\local\temp\9645.tmp.exe', '32');
 DeleteFile('C:\Users\flay\AppData\Local\Temp\gkernel.sys', '32');
 DeleteService('gkernel');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

10 июля, 2016

1. "Амиго
Служба автоматического обновления программ"

Этих программ нет в Установке и удалении программ

2. Файл "quarantine.zip" - получился пустым

Ответ:

KLAN-4660433130

quarantine.zip

Вредоносный код в файле не обнаружен.

3. Прикладываю файл.

Наверно, сейчас по "приборам" всё хорошо,п отому что при помощи утилиты adwcleaner_5.201 я исправил положение.

Могу ещё раз "заболеть", мне для этого нужно только время на ПК выставить, и у меня снова будет весь букет.

Только это симптомы, а сама проблема в задаче, которая в 23:43 запускает установщик "букета".

Вот свежий лог.

Поздно заметил, что он нужен(

Check_Browsers_LNK.log

CollectionLog-2016.07.10-14.39.zip

11 июля, 2016

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

А Вы прикрепили не тот.

при помощи утилиты adwcleaner_5.201 я исправил положение

Покажите отчеты из папки C:\AdwCleaner

Далее:

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFileF('c:\program files (x86)\win_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '');
 DeleteFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '32');
 DeleteFileMask('c:\program files (x86)\win_en_77', '*', true);
 DeleteDirectory('c:\program files (x86)\win_en_77');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','win_en_77');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 июля, 2016

так. спасибо большое. приду домой, проверну всё это дело.

Вчера сидел, наблюдал. AVZ намекнул, что есть DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными). пока эти файлы сидят в архиве, ждут своего часа.

Компьютер пока что работает.) Время Х проходит безболезненно.

Пока ковырялся, выяснил, что у меня винде уже почти 2 года и подумал, что неплохо было бы переустановить) но вирус победить нужно, чисто из принципа)

c:\program files (x86)\win_en_77 - этой директории нет, как в принципе, в автозагрузке она была, я её удалил и из реестра и из системы)

11 июля, 2016

DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными)

Пожалуйста, не занимайтесь самодеятельностью. Подозрительна - не значит вредная.

11 июля, 2016

DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными)

Пожалуйста, не занимайтесь самодеятельностью. Подозрительна - не значит вредная.

Да, согласен, делал на свой страх и риск, просто у меня уже голова начинала закипать от всех этих маилру и амигов(

вечером всё восстановлю, и сделаю по Вашим инструкциям.

Кстати, поздравляю) в Касперском 7 лет, 7 месяцев, 7 дней, я бы на вашем месте купил билет в лотерею)

11 июля, 2016

1. файл, я так понимаю, уже не нужен?)

2. прикрепил весь архив. не смотрите на даты, я там игрался( смотрите на номер файла. (кстати у меня сейчас карантин весит 1 ГБ)

3. Ответ на письмо:

KLAN-4667083152

quarantine.zip

Вредоносный код в файле не обнаружен.

4. Прикрепил файлы.

Кстати, сейчас, с возвращенными файлами, после перезагрузки проверился adwcleaner_5.201

Прикладываю файл. судя по всему система вновь поражена.

Рука так и тянется время переставить)))

12 июля, 2016

Пробуйте еще раз через Панель управления - Удаление программ (или через Revo Uninstall) - удалите нежелательное ПО:

WIN

Амиго

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
2016-07-06 23:46 - 2016-07-12 02:38 - 00000000 ____D C:\Users\Все пользователи\Doubleing
2016-07-06 23:46 - 2016-07-12 02:38 - 00000000 ____D C:\ProgramData\Doubleing
2016-07-06 23:46 - 2016-07-06 23:46 - 07101952 _____ C:\Users\flay\AppData\Roaming\agent.dat
2016-07-06 23:46 - 2016-07-06 23:46 - 02268840 _____ C:\Users\flay\AppData\Roaming\FaseTinsoft.bin
2016-07-06 23:46 - 2016-07-06 23:46 - 01878389 _____ C:\Users\flay\AppData\Roaming\SumDoncom.tst
2016-07-06 23:46 - 2016-07-06 23:46 - 00126464 _____ C:\Users\flay\AppData\Roaming\noah.dat
2016-07-06 23:46 - 2016-07-06 23:46 - 00126464 _____ C:\Users\flay\AppData\Roaming\lobby.dat
2016-07-06 23:46 - 2016-07-06 23:46 - 00072704 _____ C:\Users\flay\AppData\Roaming\Bamdom.tst
2016-07-06 23:46 - 2016-07-06 23:46 - 00070176 _____ C:\Users\flay\AppData\Roaming\Config.xml
2016-07-06 23:46 - 2016-07-06 23:46 - 00054272 _____ C:\Users\flay\AppData\Roaming\ApplicationHosting.dat
2016-07-06 23:46 - 2016-07-06 23:46 - 00005568 _____ C:\Users\flay\AppData\Roaming\md.xml
2016-07-06 23:45 - 2016-07-06 23:45 - 00128512 _____ C:\Users\flay\AppData\Roaming\Installer.dat
2016-07-06 23:45 - 2016-07-06 23:45 - 00018480 _____ C:\Users\flay\AppData\Roaming\InstallationConfiguration.xml
2016-07-03 22:43 - 2016-07-03 22:43 - 00000000 ____D C:\Users\flay\AppData\Roaming\ProShopper
Task: {6D15000E-36FB-4177-A40E-1BAAD09ADEDE} - \{3805ECFA-6334-42B9-9539-C886086CB92E} -> No File <==== ATTENTION
Task: {7F737085-8569-429C-AD81-805ADD6ABC77} - System32\Tasks\Microsoft\Windows\Multimedia\ProShopper => C:\Users\flay\AppData\Roaming\ProShopper\ProShopper.exe [2016-07-03] () <==== ATTENTION
Task: {8DC1798A-26EA-453E-B13D-A09B33C5A76B} - System32\Tasks\MailRuUpdater => C:\Users\flay\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-07-01] (Mail.Ru)
Task: {F0C82B85-3367-42C3-B7DD-3AD52DC47C59} - \{D0F38627-47F5-46F5-9371-CB930AD61FE5} -> No File <==== ATTENTION
HKLM\...\regfile\DefaultIcon:  <===== ATTENTION
FirewallRules: [{50D60B17-EDB2-4C68-ACBB-DE4707427BA6}] => (Allow) C:\Users\flay\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

12 июля, 2016

1. Нет этих программ там)

2. Файл прикрепляю.

Что-то странное, то ли я касперского сам как-то отключил, то ли вирус наполовину его схавал) Он в установленных есть, а при старте системы не запускается)

Сейчас восстанавливаю его.

Воооот.

Мне кажется, всё прекрасно)

Завтра-послезавтра отвечу точно.

Заранее поздравляю с победой!)

Fixlog.txt

14 июля, 2016

спасибо огромное!

Амиго и компания

Рекомендуемые сообщения

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Роман Голиков

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum