Роман Голиков Опубликовано 10 июля, 2016 Опубликовано 10 июля, 2016 (изменено) Здравствуйте. Как выглядит сейчас картина: Если часы показывают время 23:40 и запущен любой браузер, начинают скачиваться непонятные файлы в духе буквыцифры.temp.exe через 2 минуты, на панели быстрого доступа появляется весь букет: "Амиго,Одноклассники,ВК,музыка амиго,яндекс" Касперский со свежими базами молчит как рыба. adwcleaner_5.201 в 23:39 говорит что всё ОК, в 23:45 находит кучу вредностей и лечит, перевожу время обратно и та же история. Помогите, пожалуйста) Читал эту тему : http://forum.kasperskyclub.ru/index.php?showtopic=50929вроде переделал скрипт под себя. но ничего не нашлось. Сейчас исправлю обращение) секунду) CollectionLog-2016.07.12-23.48.zipЗагрузка не удалась. Пожалуйста сообщите об этом администрации форума. что делать?) Изменено 10 июля, 2016 пользователем Роман Голиков
mike 1 Опубликовано 10 июля, 2016 Опубликовано 10 июля, 2016 Нельзя выполнять чужие скрипты, а тем более что-то там менять в них. Это может послужить основанием в отказе вам в помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] 1 1
Роман Голиков Опубликовано 10 июля, 2016 Автор Опубликовано 10 июля, 2016 Нельзя выполнять чужие скрипты, а тем более что-то там менять в них. Это может послужить основанием в отказе вам в помощи. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] больше не буду тогда) прошу прощения. вставить файл с логом мне форум не дает почему-то.
Sandor Опубликовано 10 июля, 2016 Опубликовано 10 июля, 2016 Вставляете через кнопку "Расширенная форма"?
Роман Голиков Опубликовано 10 июля, 2016 Автор Опубликовано 10 июля, 2016 о чудо. Значит установленный "букет" запрещает чтото в браузере) Вот лог. CollectionLog-2016.07.12-23.48.zip
Sandor Опубликовано 10 июля, 2016 Опубликовано 10 июля, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: Амиго Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\flay\appdata\local\temp\9645.tmp.exe'); StopService('gkernel'); QuarantineFile('c:\users\flay\appdata\local\temp\9645.tmp.exe', ''); QuarantineFile('C:\Users\flay\AppData\Local\Temp\gkernel.sys', ''); DeleteFile('c:\users\flay\appdata\local\temp\9645.tmp.exe', '32'); DeleteFile('C:\Users\flay\AppData\Local\Temp\gkernel.sys', '32'); DeleteService('gkernel'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1
Роман Голиков Опубликовано 10 июля, 2016 Автор Опубликовано 10 июля, 2016 1. "АмигоСлужба автоматического обновления программ" Этих программ нет в Установке и удалении программ 2. Файл "quarantine.zip" - получился пустым Ответ: KLAN-4660433130 quarantine.zipВредоносный код в файле не обнаружен. 3. Прикладываю файл. Наверно, сейчас по "приборам" всё хорошо,п отому что при помощи утилиты adwcleaner_5.201 я исправил положение. Могу ещё раз "заболеть", мне для этого нужно только время на ПК выставить, и у меня снова будет весь букет. Только это симптомы, а сама проблема в задаче, которая в 23:43 запускает установщик "букета". Вот свежий лог. Поздно заметил, что он нужен( Check_Browsers_LNK.log CollectionLog-2016.07.10-14.39.zip
Sandor Опубликовано 11 июля, 2016 Опубликовано 11 июля, 2016 Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению А Вы прикрепили не тот. при помощи утилиты adwcleaner_5.201 я исправил положениеПокажите отчеты из папки C:\AdwCleaner Далее: Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFileF('c:\program files (x86)\win_en_77', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', ''); DeleteFile('C:\Program Files (x86)\win_en_77\win_en_77.exe', '32'); DeleteFileMask('c:\program files (x86)\win_en_77', '*', true); DeleteDirectory('c:\program files (x86)\win_en_77'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','win_en_77'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Роман Голиков Опубликовано 11 июля, 2016 Автор Опубликовано 11 июля, 2016 так. спасибо большое. приду домой, проверну всё это дело. Вчера сидел, наблюдал. AVZ намекнул, что есть DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными). пока эти файлы сидят в архиве, ждут своего часа. Компьютер пока что работает.) Время Х проходит безболезненно. Пока ковырялся, выяснил, что у меня винде уже почти 2 года и подумал, что неплохо было бы переустановить) но вирус победить нужно, чисто из принципа) c:\program files (x86)\win_en_77 - этой директории нет, как в принципе, в автозагрузке она была, я её удалил и из реестра и из системы)
Sandor Опубликовано 11 июля, 2016 Опубликовано 11 июля, 2016 DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными) Пожалуйста, не занимайтесь самодеятельностью. Подозрительна - не значит вредная.
Роман Голиков Опубликовано 11 июля, 2016 Автор Опубликовано 11 июля, 2016 DLL от nvidia которая по расписанию стартует, и она подозрительна. выпилил её и немного файлов из system32, которые тоже показались подозрительными) Пожалуйста, не занимайтесь самодеятельностью. Подозрительна - не значит вредная. Да, согласен, делал на свой страх и риск, просто у меня уже голова начинала закипать от всех этих маилру и амигов( вечером всё восстановлю, и сделаю по Вашим инструкциям. Кстати, поздравляю) в Касперском 7 лет, 7 месяцев, 7 дней, я бы на вашем месте купил билет в лотерею) 2
Роман Голиков Опубликовано 11 июля, 2016 Автор Опубликовано 11 июля, 2016 1. файл, я так понимаю, уже не нужен?)2. прикрепил весь архив. не смотрите на даты, я там игрался( смотрите на номер файла. (кстати у меня сейчас карантин весит 1 ГБ)3. Ответ на письмо: KLAN-4667083152 quarantine.zipВредоносный код в файле не обнаружен.4. Прикрепил файлы. Кстати, сейчас, с возвращенными файлами, после перезагрузки проверился adwcleaner_5.201 Прикладываю файл. судя по всему система вновь поражена. Рука так и тянется время переставить))) AdwCleaner.rar FRST.txt Shortcut.txt Addition.txt AdwCleanerS29.txt
Sandor Опубликовано 12 июля, 2016 Опубликовано 12 июля, 2016 Пробуйте еще раз через Панель управления - Удаление программ (или через Revo Uninstall) - удалите нежелательное ПО: WIN Амиго Служба автоматического обновления программ Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CloseProcesses: 2016-07-06 23:46 - 2016-07-12 02:38 - 00000000 ____D C:\Users\Все пользователи\Doubleing 2016-07-06 23:46 - 2016-07-12 02:38 - 00000000 ____D C:\ProgramData\Doubleing 2016-07-06 23:46 - 2016-07-06 23:46 - 07101952 _____ C:\Users\flay\AppData\Roaming\agent.dat 2016-07-06 23:46 - 2016-07-06 23:46 - 02268840 _____ C:\Users\flay\AppData\Roaming\FaseTinsoft.bin 2016-07-06 23:46 - 2016-07-06 23:46 - 01878389 _____ C:\Users\flay\AppData\Roaming\SumDoncom.tst 2016-07-06 23:46 - 2016-07-06 23:46 - 00126464 _____ C:\Users\flay\AppData\Roaming\noah.dat 2016-07-06 23:46 - 2016-07-06 23:46 - 00126464 _____ C:\Users\flay\AppData\Roaming\lobby.dat 2016-07-06 23:46 - 2016-07-06 23:46 - 00072704 _____ C:\Users\flay\AppData\Roaming\Bamdom.tst 2016-07-06 23:46 - 2016-07-06 23:46 - 00070176 _____ C:\Users\flay\AppData\Roaming\Config.xml 2016-07-06 23:46 - 2016-07-06 23:46 - 00054272 _____ C:\Users\flay\AppData\Roaming\ApplicationHosting.dat 2016-07-06 23:46 - 2016-07-06 23:46 - 00005568 _____ C:\Users\flay\AppData\Roaming\md.xml 2016-07-06 23:45 - 2016-07-06 23:45 - 00128512 _____ C:\Users\flay\AppData\Roaming\Installer.dat 2016-07-06 23:45 - 2016-07-06 23:45 - 00018480 _____ C:\Users\flay\AppData\Roaming\InstallationConfiguration.xml 2016-07-03 22:43 - 2016-07-03 22:43 - 00000000 ____D C:\Users\flay\AppData\Roaming\ProShopper Task: {6D15000E-36FB-4177-A40E-1BAAD09ADEDE} - \{3805ECFA-6334-42B9-9539-C886086CB92E} -> No File <==== ATTENTION Task: {7F737085-8569-429C-AD81-805ADD6ABC77} - System32\Tasks\Microsoft\Windows\Multimedia\ProShopper => C:\Users\flay\AppData\Roaming\ProShopper\ProShopper.exe [2016-07-03] () <==== ATTENTION Task: {8DC1798A-26EA-453E-B13D-A09B33C5A76B} - System32\Tasks\MailRuUpdater => C:\Users\flay\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-07-01] (Mail.Ru) Task: {F0C82B85-3367-42C3-B7DD-3AD52DC47C59} - \{D0F38627-47F5-46F5-9371-CB930AD61FE5} -> No File <==== ATTENTION HKLM\...\regfile\DefaultIcon: <===== ATTENTION FirewallRules: [{50D60B17-EDB2-4C68-ACBB-DE4707427BA6}] => (Allow) C:\Users\flay\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 2
Роман Голиков Опубликовано 12 июля, 2016 Автор Опубликовано 12 июля, 2016 1. Нет этих программ там) 2. Файл прикрепляю. Что-то странное, то ли я касперского сам как-то отключил, то ли вирус наполовину его схавал) Он в установленных есть, а при старте системы не запускается) Сейчас восстанавливаю его. Воооот. Мне кажется, всё прекрасно) Завтра-послезавтра отвечу точно. Заранее поздравляю с победой!) Fixlog.txt 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти