Sergey Ivanov Опубликовано 22 июля, 2016 Опубликовано 22 июля, 2016 Добрый день помогите справиться с вирусом, непонятного вида, просканировал все Kasperskim, но ничего, по инструкции скачал AVZ, прилагаю логи, на вид ничего не происходит но на рабочем столе появляются какие то глюки у всех значком появляются какие то символы, а тут начали появляться значки, похоже добавляются какие то программы сами, может быть это дело пролезло в загрузочные программы типа руткита, нужна помощь, заранее спасибо CollectionLog-2016.07.22-23.03.zip
SQ Опубликовано 22 июля, 2016 Опубликовано 22 июля, 2016 Здравствуйте, AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('TFsFlt'); DeleteService('TFsFlt'); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe',''); QuarantineFile('C:\PROGRA~2\INSTAL~1\{E1646~1\Setup.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Сергей\appdata\roaming\cpuminer\sgminer\sgminer.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys',''); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe','32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); DeleteFile('C:\Users\Сергей\appdata\roaming\cpuminer\sgminer\sgminer.exe','32'); DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Sergey Ivanov Опубликовано 28 августа, 2016 Автор Опубликовано 28 августа, 2016 Здравствуйте, все сделал архив отправил, но ответа не получил, прилагаю лог Adw clea AdwCleanerS1.txt
SQ Опубликовано 28 августа, 2016 Опубликовано 28 августа, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Sergey Ivanov Опубликовано 30 августа, 2016 Автор Опубликовано 30 августа, 2016 Спасибо! вот отчет после удаления, если понял AdwCleanerC0.txt
SQ Опубликовано 30 августа, 2016 Опубликовано 30 августа, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Sergey Ivanov Опубликовано 6 сентября, 2016 Автор Опубликовано 6 сентября, 2016 Все сделал Addition.txt FRST.txt
SQ Опубликовано 6 сентября, 2016 Опубликовано 6 сентября, 2016 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-3155576266-641303969-1638439910-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION SearchScopes: HKLM-x32 -> {B0CD2490-1B30-495F-994D-C963EA1293F6} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3155576266-641303969-1638439910-1001 -> {B0CD2490-1B30-495F-994D-C963EA1293F6} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} File: C:\ProgramData\autobk.inc Folder: C:\ProgramData\Validity File: C:\Users\Сергей\AppData\Roaming\msregsvv.dll 2015-08-18 22:33 - 2015-08-18 22:33 - 0000006 _____ () C:\Users\Сергей\AppData\Roaming\smw_inst C:\Users\Сергей\AppData\Local\Temp\UninstallHPSA.exe Task: {150D7AC7-841B-42BD-B082-2209B0C429D5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {1E77EA3A-53D4-4963-954D-143E844D7FFE} - \chrome5_logon -> No File <==== ATTENTION Task: {2794459E-962A-4469-A343-C75B7601AB9D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {3D5E53FD-7198-407E-8232-419161864078} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {4E771838-4B59-4F2A-8641-C95AA0C9C740} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {6C327146-B895-4F5B-A5B9-D698636116B9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {6EE192AA-9FEC-4D0E-A192-66704E43ACFF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {6F1D07A1-33CA-47E1-9DA8-B77EA448B0FB} - \WindowsUpdater -> No File <==== ATTENTION Task: {7E218D16-3F26-4C51-A520-A39228AFF9B0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {A19E3566-0426-4F08-B671-90BA6EA2207F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {BA75F33D-6B68-4C65-8331-1E9D74CC5BD8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {BABE916A-8E43-44BA-A0E3-48608EAFCF7B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {D1527379-BF81-4219-B45D-0203D821A1E5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {DB5947F5-7411-4FFA-891F-9F4D64618CBE} - \chrome5 -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData:238A186A22BAE184 [217] AlternateDataStreams: C:\Users\All Users:238A186A22BAE184 [217] AlternateDataStreams: C:\Users\Все пользователи:238A186A22BAE184 [217] AlternateDataStreams: C:\ProgramData\Application Data:238A186A22BAE184 [217] AlternateDataStreams: C:\ProgramData\PACE:DD97B39B8520B650 [217] AlternateDataStreams: C:\Users\Все пользователи\Application Data:238A186A22BAE184 [217] AlternateDataStreams: C:\Users\Все пользователи\PACE:DD97B39B8520B650 [217] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\ QQPCTray] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Sergey Ivanov Опубликовано 9 декабря, 2016 Автор Опубликовано 9 декабря, 2016 Добрый день, долго не подходил к теме удаления вируса, наконец появилось время заняться, но правда такое ощущение, что еще что то за это время подцепилось, тем не менее по прошлой проблеме Fixlog.txt
Sandor Опубликовано 9 декабря, 2016 Опубликовано 9 декабря, 2016 Соберите и прикрепите свежий CollectionLog с помощью Автологера.
Sergey Ivanov Опубликовано 9 декабря, 2016 Автор Опубликовано 9 декабря, 2016 Да вот сделал запустив автологер из инструкции, до этого пытался сам понять, что за программа загружается произвольно (Product Updater) и вычищал ее в реестре, но пока не понял помогло или нет, спасибо CollectionLog-2016.12.09-13.59.zip
SQ Опубликовано 11 декабря, 2016 Опубликовано 11 декабря, 2016 Удалите Pbot через установку программ в панели управления. HiJackThis (из каталога автологгера) профиксить O4 - HKCU\..\Run: [PBot] "C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\Сергей\AppData\Roaming\PBot\ml.py" --APPNAME="PBot" O4 - HKCU\..\Run: [mineApplication] "C:\Users\Сергей\AppData\Roaming\MinesweeperApp2\mineApplication2.exe" O4 - User Startup: PBot.lnk -> C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) O22 - ScheduledTask: (Ready) PBot - {root} - C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\Сергей\AppData\Roaming\PBot\ml.py" --APPNAME="PBot" (file missing) O22 - ScheduledTask: (Ready) PBot2 - {root} - C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\Сергей\AppData\Roaming\PBot\updater.py" (file missing) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Сергей\AppData\Roaming\PBot\updater.py',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\PBot\ml.py',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\MinesweeperApp2\mineApplication2.exe',''); QuarantineFileF('C:\Users\Сергей\AppData\Roaming\PBot', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true); DeleteFile('C:\Users\Сергей\AppData\Roaming\PBot\updater.py','32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\PBot\python\pythonw.exe','32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\PBot\ml.py','32'); DeleteFileMask('C:\Users\Сергей\AppData\Roaming\PBot', '*', true, ' '); DeleteDirectory('C:\Users\Сергей\AppData\Roaming\PBot'); DeleteFile('C:\Users\Сергей\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','32'); DeleteFile('C:\ProgramData\vCore\VCore.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mineApplication'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) - Подготовьте лог AdwCleaner и приложите его в теме.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти