Подозрение на вирус

13 января, 2017

Переодически появляються файлы в папках Temp. Касперский обнаруживает их как вирусы.

CollectionLog-2017.01.13-11.35.zip

13 января, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 StopService('Ghostery Storage Server');
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\паша\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
 QuarantineFile('C:\Users\Паша\AppData\Roaming\PBot\ml.py', '');
 QuarantineFile('C:\Users\Паша\AppData\Roaming\PBot\python\pythonw.exe', '');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "VCore" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\vCore\VCore.exe');
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFile('C:\Users\Паша\AppData\Roaming\PBot\ml.py', '32');
 DeleteFile('C:\Users\Паша\AppData\Roaming\PBot\python\pythonw.exe', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteFileMask('c:\users\паша\appdata\roaming\pbot', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 DeleteDirectory('c:\users\паша\appdata\roaming\pbot');
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

13 января, 2017

Логи делаю Спасибо, что отправили файл на исследование в Антивирусную Лабораторию. [KLAN-5649629928]

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
ghstore.exe
VCore.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From:
Sent: 1/13/2017 1:44:00 PM
To: newvirus@kaspersky.com
Subject: virus

Отправлено из Почты для Windows 10

Готово

ClearLNK-13.01.2017_13-49.log

CollectionLog-2017.01.13-13.57.zip

13 января, 2017

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

13 января, 2017

Зделанно

Addition.txt

Shortcut.txt

FRST.txt

13 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B53168BD2-A117-47BF-B5D0-E588EC1E9097%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {07164D2E-6A3B-4920-AF11-B327BA05E7BF} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Следы avast удалите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

13 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B53168BD2-A117-47BF-B5D0-E588EC1E9097%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {07164D2E-6A3B-4920-AF11-B327BA05E7BF} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Следы avast удалите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Fixlog.txt

13 января, 2017

Фикс дважды выполняли? Что сейчас с проблемой?

13 января, 2017

1 й раз фикс завис, пришлось по новой запускать. Утилита Аваста не обнаружила, Подозрительные файлы больше не появляються, Спасибо Вам Огромное!

13 января, 2017

В завершение:

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

13 января, 2017

В завершение:

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению.

Можно узнать, что было га ПК?

SecurityCheck.txt

13 января, 2017

По скриптам видно. Одним словом можно сказать - адварь, т.е. нежелательное рекламное ПО.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

13 января, 2017

Почему Антивирус с ним не справляеться?

13 января, 2017

Потому, что рекламное ПО - не обязательно вредоносное.

13 января, 2017

Касперский опять находит Трояна в папке с:/windows/Temp, что делать?

Компьютер тупит по страшному, Не открываеться меню пуска и многое другое

Подозрение на вирус

Рекомендуемые сообщения

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Sandor

Pavel Гундышев

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum