Dokki4 Опубликовано 14 августа, 2016 Опубликовано 14 августа, 2016 Добрый день. При включении компьютера (win 10) автоматически открывается браузер с открытой вкладкой kb-ribaki.org, затем осуществляется переход на zodiac-games.info. В реестре и автозагрузках не было обнаружено ничего подозрительного. Проверял различными программами, постоянно что-то обнаруживается и удаляется, но проблема появляется снова при повторном запуске компьютера. CollectionLog-2016.08.14-11.09.zip
thyrex Опубликовано 14 августа, 2016 Опубликовано 14 августа, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','user'); DeleteFile('C:\WINDOWS\system32\Tasks\user','64'); DeleteFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы. Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Dokki4 Опубликовано 14 августа, 2016 Автор Опубликовано 14 августа, 2016 (изменено) Про c:\quarantine.zip немного не понял , по какой ссылке нужно перейти. Проблема исчезла, вроде как. CollectionLog-2016.08.14-12.40.zip Изменено 14 августа, 2016 пользователем Dokki4
thyrex Опубликовано 14 августа, 2016 Опубликовано 14 августа, 2016 Не тот шаблон по карантину Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. 1
Dokki4 Опубликовано 14 августа, 2016 Автор Опубликовано 14 августа, 2016 (изменено) quarantine.zip отправил. [KLAN-4830275394] Вредоносный код в файле не обнаружен Logs.7z Изменено 14 августа, 2016 пользователем Dokki4
thyrex Опубликовано 14 августа, 2016 Опубликовано 14 августа, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-3489895560-1907215450-1179623909-1002\...\Run: [user] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=3 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File] FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=9 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File] FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: ubisoft.com/uplaypc -> C:\Games\The Settlers 7 - Paths to a Kingdom\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [No File] FF Plugin-x32: @t.garena.com/garenatalk -> C:\Games\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File] 2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\Users\Все пользователи\Gaijin 2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\ProgramData\Gaijin C:\Users\user\AppData\Local\Temp\libeay32.dll C:\Users\user\AppData\Local\Temp\msvcr120.dll C:\Users\user\AppData\Local\Temp\sqlite3.dll Task: {1466835F-A73D-4C3E-9861-914CA47F0BA2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {230D3283-6B18-4223-AABD-4FF8AAA1B17F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {2ED6AF31-A156-4271-89FB-FE23303AACC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {3A34A154-5055-41C1-8643-7467686BDEC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {5267CFCE-83A4-4093-92BB-7DF8C2A82512} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {691BBCEA-38C5-423B-A996-EF6AB84D17A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {76BC8F72-8738-4FF1-A5CE-4DFCAB156C84} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {A0F52927-4C78-45C3-A048-8F36919E7DFC} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION Task: {AB606BEB-A87A-403C-8A05-F1ECBFC51248} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {B91203C7-D8A8-46DE-BAEC-77B8AB7C56EA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {C53C9211-AB03-4E07-B94F-44FF8E8946D6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {CDCB6D1C-6C9C-42EE-8DD7-3376D11BB5CC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {D9F724E9-F624-4DFF-B67D-5AD013267BCC} - \user -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. 1
thyrex Опубликовано 15 августа, 2016 Опубликовано 15 августа, 2016 Сделайте еще раз логи Autologger 1
Dokki4 Опубликовано 15 августа, 2016 Автор Опубликовано 15 августа, 2016 Вот. CollectionLog-2016.08.15-16.25.zip
thyrex Опубликовано 15 августа, 2016 Опубликовано 15 августа, 2016 Пофиксите в HiJack (запускать утилиту от имени Администратора по правой кнопке мыши) O4 - HKCU\..\Run: [user] explorer.exe http://kb-ribaki.org Проверьте проблему после перезагрузки 1
Dokki4 Опубликовано 15 августа, 2016 Автор Опубликовано 15 августа, 2016 Перезагрузил. Проблема исчезла(вроде как). Большое спасибо за помощь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти