SalaDys Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 Вчера появилось окошко стандартного виндувского брендмаузера с разрешением доступа к сети файлу file6.exe. Нажал отмена, фаил решил удалить. В процессах увидел photo.exe, NscpuCNminer32.exe. Скачал CureIt, он нашел только фаил ESES обновление и вылечил. После запустил AVZ c полной проверкой всех файлов. Так же запускал автологгер. CollectionLog-2016.10.05-13.17.zip avz_log.txt
SQ Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 Здравствуйте,AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Saladys\AppData\Roaming\Dropbox\bin\DropboxExt.65536.dll',''); QuarantineFile('C:\Windows\System32\file6.exe',''); QuarantineFile('C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Photo.exe',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Startup'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Run'); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Приложите новый лог "автоматического сборщика логов".
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 KLAN-5118523387 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. DropboxExt.65536.dll,bcqr00001.dat,bcqr00002.datA set of unknown files has been received. They will be sent to the Virus Lab.Best Regards, Kaspersky Lab CollectionLog-2016.10.05-14.41.zip
SQ Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 - Подготовьте лог AdwCleaner и приложите его в теме.
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 отчет AdwCleaner. Cсылка для загрузки, которую вы дали не работает. AdwCleanerS0.txt
SQ Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. отчет AdwCleaner. Cсылка для загрузки, которую вы дали не работает. выполнил запрос на исправление, спасибо.
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 Отчет AdwCleaner после удаления. AdwCleanerC0.txt
SQ Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 Отчет FRST Addition.txt FRST.txt
SQ Опубликовано 5 октября, 2016 Опубликовано 5 октября, 2016 Знакома ли Вам? S2 adfs; no ImagePath Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: ShortcutTarget: ESET Обновление.lnk -> C:\Program Files\TN\tn.exe (No File) CHR HomePage: Default -> chrome://newtab CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1409196589&from=cor&uid=WDCXWD5000AAKS-00V1A0_WD-WCAWF066158361583" Folder: C:\Program Files\CPUID C:\Users\Saladys\AppData\Local\Temp\GUR23DE.exe C:\Users\Saladys\AppData\Local\Temp\pushbullet_watchdog.exe C:\Users\Saladys\AppData\Local\Temp\uninst.exe CustomCLSID: HKU\S-1-5-21-230187515-3734708484-958614537-1000_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\Saladys\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => No File Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ESET Обновление.lnk -> C:\Program Files\TN\tn.exe (No File) <===== Cyrillic Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET\ESET Обновление\ Настройки.lnk -> C:\Program Files\TN\Config.bat (No File) Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET\ESET Обновление\Загрузка лицензий.lnk -> C:\Program Files\TN\Licenses Downloader.bat (No File) <===== Cyrillic Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET\ESET Обновление\Обновить.lnk -> C:\Program Files\TN\tn.exe (No File) <===== Cyrillic Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET\ESET Обновление\Самая долгая лицензия.lnk -> C:\Program Files\TN\Insert License with the maximum expiration date.bat (No File) <===== Cyrillic Shortcut: C:\Users\Saladys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET\ESET Обновление\Скопировать лицензию.lnk -> C:\Program Files\TN\Recover current License.bat (No File) <===== Cyrillic Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 2 adfs; no ImagePath Первый раз вижу данную комбинацию букв, гугл говорит что это Adobe Drive File System. Скорее всего установилось, когда ставил Photoshop. Отчет FRST после починки. Fixlog.txt
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 Файл file6.exe, который я удалил из C:/windows/system32, появился совершено в другом разделе. Куда его можно прислать?
SalaDys Опубликовано 5 октября, 2016 Автор Опубликовано 5 октября, 2016 https://newvirus.kaspersky.com Сканер показал Trojan.Win32.Miner.ays. Если полностью форматировать системный раздел, это поможет? Остатки не останутся на другом логическом разделе?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти