вирус

[Anatol125rus]

Что то было скачано с выключенным антивирусом, после включения антивируса он нашел вирус, вылечил, удалил, теперь вирусы не находит. Но постоянно всплывает окошко где антивирус блокируе опасный веб сайт.

CollectionLog-2016.11.11-03.35.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\толик\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Толик\AppData\Local\Hostinstaller\2721345808_monster.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('C:\Users\Толик\AppData\Local\Hostinstaller\2721345808_monster.exe', '32');
 DeleteFileMask('c:\users\толик\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\толик\appdata\local\hostinstaller');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Anatol125rus]

Жду ответа от newvirus@kaspersky.com

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

[KLAN-5323778341]

ClearLNK-12.11.2016_00-10.log

[mike 1]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 

Где?

[Anatol125rus]

Вот.

CollectionLog-2016.11.12-00.18.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Anatol125rus]

Вот. Я перезагрузил компьютер, и Касперский нашел легальную программу, которая может быть использована злоумышлиниками.

Находится C:\User\Толик\AppData\Local\Temp\30D75C07-12ED-410B-BB8E-8E787B1CED17\yt.exe

Пока не устраняю. Жду что скажете Вы.

AdwCleanerS2.txt

Изменено 13 ноября, 2016 пользователем Anatol125rus

[Sandor]

Пока не устраняю

Можете удалить.

 

Далее:

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Anatol125rus]

Вот.

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF user.js: detected! => C:\Users\Толик\AppData\Roaming\Mozilla\Firefox\Profiles\9tkhgxlu.default\user.js [2016-08-20]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\9tkhgxlu.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\9tkhgxlu.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\9tkhgxlu.default -> hxxp://mail.ru/cnt/10445?gp=811005
FF Keyword.URL: Mozilla\Firefox\Profiles\9tkhgxlu.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BB0532C6F-0ABC-4A0B-B744-0B9274DA86C0%7D&gp=811006
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Толик\AppData\Roaming\Mozilla\Firefox\Profiles\9tkhgxlu.default\Extensions\homepage@mail.ru [2016-11-09]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Толик\AppData\Roaming\Mozilla\Firefox\Profiles\9tkhgxlu.default\Extensions\search@mail.ru [2016-11-09]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Толик\AppData\Roaming\Mozilla\Firefox\Profiles\9tkhgxlu.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-09]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn2.0.25
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Толик\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndaciceccgapjhpniecknjlmmlanaem [2016-09-12]
CHR Extension: (Mail.Ru) - C:\Users\Толик\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-09-12]
2016-11-10 00:13 - 2016-08-20 18:03 - 00000000 ____D C:\Program Files (x86)\IObit
2016-11-10 00:01 - 2016-08-20 18:03 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-11-10 00:01 - 2016-08-20 18:03 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-11-10 00:01 - 2016-08-20 18:03 - 00000000 ____D C:\ProgramData\ProductData
2016-11-10 00:01 - 2016-08-20 18:03 - 00000000 ____D C:\ProgramData\IObit
2016-11-09 23:59 - 2016-08-20 18:03 - 00000000 ____D C:\Users\Толик\AppData\Roaming\IObit
2016-11-09 23:59 - 2016-08-20 18:03 - 00000000 ____D C:\Users\Толик\AppData\LocalLow\IObit
2016-11-09 23:59 - 2016-01-26 22:21 - 00000000 ____D C:\Users\Толик\AppData\Roaming\Apple Computer
Task: {09E5F842-765C-44DD-A389-88B2B1A0CD7D} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {191F74FE-278B-4EEC-8EC9-953DB9A431AE} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {96549F66-F762-4A5F-9636-921F5985F747} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {DEC33055-7952-4F7B-83A2-89C39998FC54} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {FA53B944-93AB-4AEB-B273-DB9075B2CA21} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {FCB302A8-2C69-483B-AFDF-671E3BD6B4E6} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[Anatol125rus]

Сделано.

Fixlog.txt

[Sandor]

что с проблемой

?

[Anatol125rus]

Проблему не наблюдаю. Спасибо.

[Sandor]

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Anatol125rus]

Вот.

SecurityCheck.txt