Tiktonik78 Опубликовано 23 октября, 2016 Опубликовано 23 октября, 2016 Множество процессов calc.exe грузят память. CollectionLog-2016.10.24-02.13.zip
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\police\appdata\roaming\c731200',''); QuarantineFile('C:\Users\police\AppData\Roaming\Microsoft\Windows\Kqowog.exe',''); QuarantineFile('C:\Users\police\AppData\Roaming\Windows Live\kbmahsrlbp.exe',''); QuarantineFile('C:\Users\police\appdata\roaming\windowsupdate\live.exe',''); QuarantineFile('C:\Users\police\AppData\Roaming\WindowsUpdate\mobsync.exe',''); QuarantineFile('C:\Users\police\AppData\Roaming\WindowsUpdate\Updater.exe',''); DeleteFile('C:\Users\police\appdata\roaming\c731200','32'); DeleteFile('C:\Users\police\AppData\Roaming\Microsoft\Windows\Kqowog.exe','32'); DeleteFile('C:\Users\police\AppData\Roaming\Windows Live\kbmahsrlbp.exe','32'); DeleteFile('C:\Users\police\appdata\roaming\windowsupdate\live.exe','32'); DeleteFile('C:\Users\police\AppData\Roaming\WindowsUpdate\mobsync.exe','32'); DeleteFile('C:\Users\police\AppData\Roaming\WindowsUpdate\Updater.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "Windows Live" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kqowog'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Пуск -> Отметьте пункт указанный выше -> Исправить отмеченные проблемы. >> Подмена диспетчера задач >> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозыПовторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Tiktonik78 Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 KLAN-5230683599 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. c731200,kbmahsrlbp.exe,live.exe,mobsync.exe,Updater.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 Повторите пожалуйста логи, как просил Вас ранее.
Tiktonik78 Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 Конечно. Я не забыл. Запустил AVZ после размещения сообщения с ответом. Сканирование завершилось только что. CollectionLog-2016.10.24-14.36.zip
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 В предоставленном логе отсутствуют логи AVZ. HiJackThis из каталога автологгера профиксить O4 - HKCU\..\Policies\Explorer\Run: [Windows Live] C:\Users\police\AppData\Roaming\Windows Live\kbmahsrlbp.exe O4 - HKCU\..\Run: [Kqowog] C:\Users\police\AppData\Roaming\Microsoft\Windows\Kqowog.exe O4 - HKCU\..\Run: [Microsoft Sync Center] C:\Users\police\AppData\Roaming\WindowsUpdate\mobsync.exe O4 - HKCU\..\Run: [Windows Live Installer] C:\Users\police\AppData\Roaming\WindowsUpdate\Live.exe O4 - HKCU\..\Run: [Windows Live] C:\Users\police\AppData\Roaming\Windows Live\kbmahsrlbp.exe O4 - MSConfig\startupreg: [Windows Live Installer] (2016/10/11) (no file) O4 - MSConfig\startupreg: [Windows Live] (2016/10/11) (no file) O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file) Предоставьте новые логи согласно правилам.
Tiktonik78 Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 В HiJackThis не нашел строки O4 - MSConfig\startupreg: [Windows Live Installer] (2016/10/11) (no file) O4 - MSConfig\startupreg: [Windows Live] (2016/10/11) (no file) CollectionLog-2016.10.24-16.38.zip
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 В HiJackThis не нашел строки O4 - MSConfig\startupreg: [Windows Live Installer] (2016/10/11) (no file) O4 - MSConfig\startupreg: [Windows Live] (2016/10/11) (no file) HiJackThis использовали из каталога автологгера? HiJackThis из каталога автологгера профиксить O4 - HKCU\..\Run: [Windows Update Installer] C:\Users\police\AppData\Roaming\WindowsUpdate\Updater.exe O4 - MSConfig\startupreg: [Windows Live Installer] (2016/10/11) (no file) O4 - MSConfig\startupreg: [Windows Live] (2016/10/11) (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\police\AppData\Roaming\WindowsUpdate\Updater.exe', ''); QuarantineFile('C:\Users\police\AppData\Roaming\WindowsUpdate\mobsync.exe', ''); QuarantineFileF('C:\Users\police\AppData\Roaming\WindowsUpdate', '*', false,'', 0, 0); DeleteFile('C:\Users\police\AppData\Roaming\WindowsUpdate\Updater.exe', '32'); DeleteFile('C:\Users\police\AppData\Roaming\WindowsUpdate\mobsync.exe', '32'); DeleteFileMask('C:\Users\police\AppData\Roaming\WindowsUpdate', '*', true, ' '); DeleteDirectory('C:\Users\police\AppData\Roaming\WindowsUpdate'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Tiktonik78 Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 : Re: Запрос на исследование вредоносного файла [KLAN-5231365828]сегодня, 17:25Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.quarantine.zipВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" Addition.txt FRST.txt
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-18446413-3029970090-3618379289-1000\...\Winlogon: [Shell] C:\Windows\Explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION 2016-10-11 19:39 - 2016-10-24 14:31 - 00000000 ____D C:\Users\police\AppData\Roaming\Windows Live CHR StartupUrls: Default -> "hxxp://www.top-page.ru/?from=us","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421914696&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WXA1A34T0727T0727","hxxp://www.yandex.ru/?win=40&clid=155842","hxxp://mail.ru/cnt/10445?gp=802811" 2016-07-02 19:56 - 2016-07-02 19:56 - 0000000 ____H () C:\ProgramData\DP45977C.lfl AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [402] AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [402] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Tiktonik78 Опубликовано 24 октября, 2016 Автор Опубликовано 24 октября, 2016 Все отлично. Проблема решена. Спасибо
SQ Опубликовано 24 октября, 2016 Опубликовано 24 октября, 2016 1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе. 2. Запустите DelFix. Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да 3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup 4. Нажмите на кнопку Run. 5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt) 6. Прикрепите этот отчет в вашей теме. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти