Рома Мустафинъ Опубликовано 28 декабря, 2016 Опубликовано 28 декабря, 2016 Доброго времени суток. Примерно каждые 20-30 минут всплывает вирусное окно поверх других окон. Очень надеюсь на вашу помощь. CollectionLog-2016.12.28-20.57.zip
SQ Опубликовано 28 декабря, 2016 Опубликовано 28 декабря, 2016 Здравствуйте,HiJackThis (из каталога автологгера) профиксить R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfE-_K-Nksx9goQTxiEZcVKQya4a___PVS3XFJ-q41S0Nehvz3-6jryOOL2zCF-E-Kbq7z3UYS1xJIOUaiOii-Dve5DZOuac4Z66S_jNTg3ybMFVV_K70AiKhv57VmMzBzV8nWwMZ9QVr2LQ,,&q={ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfE-_K-Nksx9goQTxiEZcVKQya4a___PVS3XFJ-q41S0Nehvz3-6jryOOL2zCF-E-Kbq7z3UYS1xJIOUaiOii-Dve5DZOuac4Z66S_jNTg3ybMFVV_K70AiKhv57VmMzBzV8nWwMZ9QVr2LQ,,&q={searchTerms} O22 - ScheduledTask: (Ready) FreeVPN - \Microsoft\Windows\SystemRestore - C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing) O22 - ScheduledTask: (Ready) InternetEA - {root} - "C:\Windows\system32\OpenWith.exe" http://puklusi.ru/webarsm Удалите чледующий ярлык: "C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk" AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('BugreportW'); StopService('QMUdisk'); StopService('SRepairDrv'); StopService('SstrprSrv'); StopService('TS888x64'); StopService('TSDefenseBt'); StopService('TSSysKit'); DeleteService('BugreportW'); DeleteService('QMUdisk'); DeleteService('QQPCRTP'); DeleteService('QQSysMonX64'); DeleteService('SstrprSrv'); DeleteService('TS888x64'); DeleteService('TSDefenseBt'); DeleteService('TSSysKit'); QuarantineFile('C:\Program Files (x86)\hohobnd\ghabuk.exe',''); QuarantineFile('C:\Program Files (x86)\Sosition\SstrprSrv.exe',''); QuarantineFile('C:\Program Files (x86)\Sosition\SstrprTsk.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSDefenseBT64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv',''); QuarantineFile('C:\ProgramData\Doubleing\Kaysiltech.dll',''); QuarantineFileF('C:\ProgramData\Doubleing', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFile('C:\Users\Roman\AppData\Local\PPTAssist\assistupdate.exe',''); QuarantineFile('C:\Users\Roman\AppData\Local\PPTAssist\notify.exe',''); QuarantineFile('C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe',''); DeleteFile('C:\Program Files (x86)\hohobnd\ghabuk.exe','32'); DeleteFile('C:\Program Files (x86)\Sosition\SstrprSrv.exe','32'); DeleteFile('C:\Program Files (x86)\Sosition\SstrprTsk.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSDefenseBT64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','32'); DeleteFile('C:\ProgramData\Doubleing\Fixit.dll','32'); DeleteFile('C:\ProgramData\Doubleing\Kaysiltech.dll','32'); DeleteFile('C:\Users\Roman\AppData\Local\PPTAssist\assistupdate.exe','32'); DeleteFile('C:\Users\Roman\AppData\Local\PPTAssist\notify.exe','32'); DeleteFile('C:\Users\Roman\AppData\Roaming\FreeVPN\FreeVPN.exe','32'); DeleteFileMask('C:\ProgramData\Doubleing', '*', true, ' '); DeleteDirectory('C:\ProgramData\Doubleing'); DeleteFileMask('C:\Users\Roman\AppData\Roaming\FreeVPN', '*', true, ' '); DeleteDirectory('C:\Users\Roman\AppData\Roaming\FreeVPN'); ExecuteFile('schtasks.exe', '/delete /TN "InternetEA" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SystemRestore\FreeVPN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantNotifyTask_Roman" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantUpdateTask_Roman" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Sosition Reports" /F', 0, 15000, true); DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_Roman.job','32'); DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_Roman.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Рома Мустафинъ Опубликовано 29 декабря, 2016 Автор Опубликовано 29 декабря, 2016 KLAN-5583825379 Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:Fixit.dllПрограмма Riskware, которая может причинить вред вашему устройству, найдена в файлахTechstrong.exe - not-a-virus:WebToolbar.Win64.Linkury.aZumma-Flex.exe - not-a-virus:HEUR:WebToolbar.Win32.Linkury.genМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Спасибо большое, все вернулось в норму. AdwCleanerS1.txt
SQ Опубликовано 29 декабря, 2016 Опубликовано 29 декабря, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти