Борис Мячиков Опубликовано 13 июля, 2016 Опубликовано 13 июля, 2016 (изменено) При старте системы в диспетчере задач появляется процесс с разными именами (каждый раз новый) "5F818406-0FEE-B26D-5A8A-DED198045F12.exe[/size]" или "1B15C81B-DD1B-1E3B-547B-DD2420835ED9.exe". В папке C:\Users\"пользователь"\AppData\Local\Temp\[/size]nsvB702.tmp находится этот файл, докачиваются еще 4 :Crypto.dll [/size]InetC.dll [/size]Registry.dll [/size]System.dll . [/size] Подскажите что это за софт и как от него избавиться. Стоял Нод32, проверял [/size]Cureit, поставил пробную версию антивируса Касперского для Дома, никто не ругается.[/size] CollectionLog-2016.07.11-07.24.zip Изменено 13 июля, 2016 пользователем Sandor Без указания не прикрепляйте подозрительные файлы.
Sandor Опубликовано 13 июля, 2016 Опубликовано 13 июля, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe'); QuarantineFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', ''); QuarantineFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', ''); QuarantineFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "A4C61A02D-4039-481A-A4C0-46CBEA57B6EF" /F', 0, 15000, true); DeleteFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', '32'); DeleteFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', '32'); DeleteFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4C61A02D-4039-481A-A4C0-46CBEA57B6EF'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Борис Мячиков Опубликовано 13 июля, 2016 Автор Опубликовано 13 июля, 2016 KLAN-4677388313 CollectionLog-2016.07.13-20.09.zip
Sandor Опубликовано 13 июля, 2016 Опубликовано 13 июля, 2016 Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Борис Мячиков Опубликовано 14 июля, 2016 Автор Опубликовано 14 июля, 2016 В процессах при загрузке вроде пропали подозрительные сущности, за что большое спасибо. Хотелось бы узнать что за зверь то был. AdwCleanerS1.txt
Sandor Опубликовано 15 июля, 2016 Опубликовано 15 июля, 2016 Еще не все. 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти