TS214 Опубликовано 24 июля, 2016 Опубликовано 24 июля, 2016 Здравствуйте, возникла проблема на домашнем компьютере. В открытом браузере Opera самопроизвольно пытается открыться вкладка pluginplus.net/install.php. Касперский её блокирует, но при проверке компьютера он ничего не находит. Умом я понимаю, что проблема один-в-один как у этого человека:http://forum.kasperskyclub.ru/index.php?showtopic=50837 Но разобраться с ней уже не хватает. Очень прошу помощи! CollectionLog-2016.07.24-12.00.zip
Roman_Five Опубликовано 24 июля, 2016 Опубликовано 24 июля, 2016 это Ваши настройки сети? O1 - Hosts.ICS: 192.168.137.37 android-90b39035d90862d0.mshome.net # 2016 7 5 29 17 57 2 863 O1 - Hosts.ICS: 192.168.137.44 android-a9d3a94d8829e87c.mshome.net # 2016 7 3 27 14 9 22 959 O1 - Hosts.ICS: 192.168.137.192 DNS.mshome.net # 2016 7 0 31 6 42 32 276 O1 - Hosts.ICS: 192.168.137.1 Milo.mshome.net # 2021 7 5 23 6 51 16 629 O17 - HKLM\System\CSS\Services\Tcpip\..\{CC3DED8A-4FD0-475B-A365-4975089F3BBD}: NameServer = 10.0.0.4 O17 - HKLM\System\CSS\Services\Tcpip\..\{CC3DED8A-4FD0-475B-A365-4975089F3BBD}: NameServer = 10.0.0.7 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{CC3DED8A-4FD0-475B-A365-4975089F3BBD}: NameServer = 10.0.0.4 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{CC3DED8A-4FD0-475B-A365-4975089F3BBD}: NameServer = 10.0.0.7 +покажите содержимое файла c:\Temp\System32\start.vbs 1
TS214 Опубликовано 24 июля, 2016 Автор Опубликовано 24 июля, 2016 (изменено) На компьютере размещен WiFi через USB-устройство. Milo - сам раздающий компьютер, DNS - ноутбук и 2 телефона на Андроиде подключены к ней. start.vbs Set WshShell = CreateObject("WScript.Shell") RetCode = WshShell.Run("C:\temp\system32\1.bat", 0, False)1.bat (другой файл)cmd /c "c:\temp\system32\system.url"В system.url - ссылка на pluginplus.net/install.php. Достаточно будет просто удалить их? Изменено 24 июля, 2016 пользователем TS214
Roman_Five Опубликовано 24 июля, 2016 Опубликовано 24 июля, 2016 ясно.вручную удалите c:\temp\system32\system.url Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('c:\Temp\System32\start.vbs',''); DeleteFile('C:\Windows\system32\Tasks\System_service','32'); DeleteFile('C:\Windows\system32\Tasks\System_update','32'); DeleteFile('c:\Temp\System32\start.vbs','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Сделайте новые логи по правилам (только пункт 2). 1
TS214 Опубликовано 24 июля, 2016 Автор Опубликовано 24 июля, 2016 (изменено) А во втором скрипте точно команда DeleteFile?После выполнения скриптов в папке Quaruntine была создана пустая папка с сегодняшним числом. В самой папке AVZ нет файла Quaruntine.zipВпрочем, всё равно большое спасибо! Проблема исчезла и, надеюсь, больше не появится) CollectionLog-2016.07.24-13.29.zip Изменено 24 июля, 2016 пользователем TS214
thyrex Опубликовано 24 июля, 2016 Опубликовано 24 июля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. 6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
TS214 Опубликовано 24 июля, 2016 Автор Опубликовано 24 июля, 2016 (изменено) Вот они Archive.zip Изменено 24 июля, 2016 пользователем TS214
thyrex Опубликовано 24 июля, 2016 Опубликовано 24 июля, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: Task: {B93DD3DC-1356-470D-8336-0355B2189C1C} - \System_service -> No File <==== ATTENTION Task: {1EE86FD3-55F3-4D97-B40E-44319B9DEC76} - \System_update -> No File <==== ATTENTION Toolbar: HKU\S-1-5-21-3330766598-3380433353-3903948951-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти