igor_ Опубликовано 14 октября, 2016 Опубликовано 14 октября, 2016 Добрый день. На компьютере установилась данная программа, как adware упакованный с другой программой. Касперский её не обнаруживает как зловредную. Установлен KSOS 5. Прописался файл NetUtils2016.dll в папке C:\Windows\System32 Если его удалять, то он восстанавливается. В той же папке появляется файл tmplog.txt в котором ведутся какие-то подозрительные логи. Прогнал Касперский (ничего не нашел), AdwCleaner (Он эту программу увидел и удалил, но она тут же восстановилась.) Прилагаю логи автологгера, также в отдельном архиве тот файл tmplog.txt и отчеты adwcleaner. Буду благодарен за любую помощь. CollectionLog-2016.10.13-01.28.zip логи.zip
Sandor Опубликовано 14 октября, 2016 Опубликовано 14 октября, 2016 Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
igor_ Опубликовано 14 октября, 2016 Автор Опубликовано 14 октября, 2016 Здравствуйте. Прикрепил отчеты из Farbar farbar.zip
Sandor Опубликовано 16 октября, 2016 Опубликовано 16 октября, 2016 Эти политики настраивали самостоятельно? GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION
igor_ Опубликовано 19 октября, 2016 Автор Опубликовано 19 октября, 2016 Даже не знаю, что эти строки значат. По идее, ничего вроде applocker не включали. Единственное, системные диски спрятали.
Sandor Опубликовано 19 октября, 2016 Опубликовано 19 октября, 2016 Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перегрузите сервер вручную. Подробнее читайте в этом руководстве.
igor_ Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 Здравствуйте. Запустил скрипт. Слетели настройки сервера лицензирования служб терминалов, и перестало пускать терминальных пользователей. Вернул настройки назад. Fixlog.txt
Roman_Five Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 (изменено) проверьте, что в папке, и сообщите. C:\Program Files (x86)\GSLITE создайте вручную новую точку восстановления. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: R1 NetUtils2016; C:\Windows\system32\drivers\NetUtils2016.sys [909944 2016-10-13] () <==== ATTENTION C:\Windows\system32\drivers\NetUtils2016.sys 9EE21F7D46BD2B0F128E0907BABC7D28 2016-10-13 01:06 - 2016-10-13 01:45 - 00625272 _____ C:\Windows\system32\NetUtils2016.dll 2016-09-26 11:55 - 2016-10-13 01:04 - 00909944 _____ C:\Windows\system32\Drivers\NetUtils2016.sys 2016-09-26 11:55 - 2016-09-26 11:55 - 00000000 ____D C:\Windows\SysWOW64\sstmp 2016-09-26 11:55 - 2016-09-26 11:55 - 00000000 ____D C:\Windows\system32\sstmp Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Изменено 24 октября, 2016 пользователем mike 1 https://forum.kasperskyclub.ru/index.php?showtopic=12617&page=30
igor_ Опубликовано 25 октября, 2016 Автор Опубликовано 25 октября, 2016 В папке GSLITE лежит один пустой файл distrib.ini и больше ничего. Тут серверная ОС в облаке и точку восстановления делать некуда, поэтому запустил скрипт без неё на свой страх и риск. Лог приложил. NetUtils2016 опять возродился в system32 вместе с tmplog.log Fixlog.txt
Sandor Опубликовано 26 октября, 2016 Опубликовано 26 октября, 2016 Подготовьте лог сканирования MBAM.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти