кто-то сгрыз КИС

[pwn]

перестал запускаться Касперский

выдаёт ошибку прнт-скрин прилагаю

CollectionLog-2016.11.04-00.55.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Homepager

Time tasks

Обнови Софт

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\tanya\appdata\local\coprofit', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\tanya\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\tanya\appdata\local\systemmonitor2016', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 ,0);
 QuarantineFile('C:\Users\tanya\AppData\Local\coprofit\coprofit_stb.exe', '');
 QuarantineFile('C:\Users\tanya\AppData\Local\coprofit\config.json', '');
 QuarantineFile('C:\Users\tanya\AppData\Local\Hostinstaller\2449803850_installcube.exe', '');
 QuarantineFile('C:\Users\tanya\AppData\Local\SystemMonitor2016\2449803850.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteFile('C:\Users\tanya\AppData\Local\coprofit\coprofit_stb.exe', '32');
 DeleteFile('C:\Users\tanya\AppData\Local\coprofit\config.json', '32');
 DeleteFile('C:\Users\tanya\AppData\Local\Hostinstaller\2449803850_installcube.exe', '32');
 DeleteFile('C:\Users\tanya\AppData\Local\SystemMonitor2016\2449803850.exe', '32');
 DeleteFileMask('c:\users\tanya\appdata\local\coprofit', '*', true);
 DeleteFileMask('c:\users\tanya\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\tanya\appdata\local\systemmonitor2016', '*', false);
 DeleteDirectory('c:\users\tanya\appdata\local\coprofit');
 DeleteDirectory('c:\users\tanya\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\tanya\appdata\local\systemmonitor2016');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','coprofit');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 4 ноября, 2016 пользователем Sandor

[pwn]

вродь всё сделал по инструкции\

KLAN-5291246154

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

config.json

Вредоносный код в файле не обнаружен.

coprofit_stb.exe,
uninstall.exe,
fkbmjpofpcpmmokgmkehcpbofjombfoe.json,
manifest.json,
computed_hashes.json,
verified_contents.json,
2449803850_installcube.exe,
692025578_installcube.exe,
2449803850.exe,
692025578.exe,
System.Data.SQLite.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

обновлять винду боюсь прошлый раз после обновления еле реанимировал откатом

подскажите пожалуйста как бороться с маил.ру агентами

достали уже

ClearLNK-05.11.2016_00-56.log

CollectionLog-2016.11.05-01.07.zip

[Sandor]

обновлять винду боюсь

Об этом пока речи не было.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\tanya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Еще раз:

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Далее:

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 5 ноября, 2016 пользователем Sandor

[pwn]

 всё  плохо?

 

C:\AdwCleaner\AdwCleaner[sx].txt - такого не нашел,  надеюсь SO подойдет 

 

KLAN-5295721890

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk,
Gооglе Сhrоmе.lnk,
iexplore.bat,
chrome.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

ClearLNK-06.11.2016_01-46.log

AdwCleanerS0.txt

[Sandor]

AdwCleaner[sx].txt - такого не нашел

x - в данном случае означает "любая цифра".

 

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[pwn]

Shortcut.txt не появился 

 

adwcleaner - рекомендовал для борьбы с не желательным ПО включить ПНП перерыл КИС такой Аббревиатуры не нашел 

AdwCleanerC0.txt

FRST.txt

Addition.txt

[Sandor]

перерыл КИС такой Аббревиатуры не нашел

Подразумевается Поиск уязвимостей.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3419509142-1069111143-58929798-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\tanya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-03-25]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0D01A5E6-4BA4-4E8E-9E70-C306637B029C%7D&gp=822368
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\tanya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-10-30]
FF Extension: (Поиск@Mail.Ru) - C:\Users\tanya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-10-30]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\tanya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-30]
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SPB3F1EC42-0630-4961-95D9-F1B0D15AF21C&SSPV=","hxxp://www.mystartsearch.com/?type=hp&ts=1423925012&from=cmi&uid=395049983_1052483_92050A4A","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxp://mail.ru/cnt/10445?gp=anvir5","hxxp://mail.ru/cnt/10445?gp=822318"
CHR Extension: (Angry Racoon - уход от бана) - C:\Users\tanya\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdipdmgfoponabkeiacehfflkboljlce [2016-11-07]
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\tanya\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-11-18]
OPR Extension: (Quick Searcher) - C:\Users\tanya\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-05]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\tanya\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcnhkahnjcbndmmehfkdnkjomaanaooo [2015-02-15]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Kaspersky Internet Security 2013

Очень устаревшая версия. Обновите до актуальной и сообщите что с первоначальной проблемой.

[pwn]

антивирус очухался уже давно по моему после второго вашего поста

ругается на угрозы - удалить все?

кис 2013 ? на более свежее лицензии не раздают, что обломилось тем и пользуемся  

на этот год моя лицензия уже заканчивается 32 дня осталось похоже покупать прийдется более свежее

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[pwn]

спасибо большое за помощь

приношу извинения за нерасторопность  и не быстрые ответы, сильно много проблем 

 

и ещё просьба подскажите какую примочку установить чтоб раз и навсегда запретить инсталяцию маил.ру агентов реально достали

на этом компьютере работает жена где она их находит не представляю, клянётся под пытками, что не ставила, но откудато они берутся  

 

SecurityCheck.txt

[Sandor]

какую примочку установить

Одной примочки мало А вот следующее следует проделать:

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17691 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Запрос на повышение прав для администраторов отключен

Запрос на повышение прав для обычных пользователей отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.2.0.145 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Acrobat XI Pro v.11.0.08 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.54.0.2840.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Kaspersky Internet Security 2013 - версия устарела. В актуальной версии есть в т.ч. защита от нежелательной установки.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО