Максим Павельев Опубликовано 14 января, 2017 Опубликовано 14 января, 2017 при работе, компьютер может совсем зависнуть, или же просто выключиться CollectionLog-2017.01.13-21.13.zip
SQ Опубликовано 14 января, 2017 Опубликовано 14 января, 2017 Здравствуйте, Удалите Zaxar, Pbot через установку программ в панели управленияHiJackThis (из каталога автологгера) профиксить O4 - HKCU\..\Run: [PBot] "C:\Users\MainUser\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\MainUser\AppData\Roaming\PBot\launchall.py" O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent O4 - HKCU\..\Run: [ccamyuyxhq] explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=36BEC3B5CD46CA95743BB5A67CD401B6&utm_d=20160417" O4-32 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg O22 - ScheduledTask: (Ready) A7D005AF7-7E19-4ED7-A237-8D30C34C4E20 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe" --getupdate-ppapi-plugin O22 - ScheduledTask: (Ready) InternetBF - {root} - "C:\Users\MainUser\AppData\Local\Amigo\Application\amigo.exe" http://journalslives.ru/peoplesm (file missing) O22 - ScheduledTask: (Ready) InternetSF - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://thisgo.su/cgosm (file missing) O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing) O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe" subid=792;src=installcube;scheduler=1 AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe'); TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe'); TerminateProcessByName('C:\Users\MainUser\AppData\Roaming\svchost.exe'); QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe',''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe',''); QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe',''); QuarantineFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe',''); QuarantineFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py',''); QuarantineFile('C:\Users\MainUser\AppData\Roaming\svchost.exe',''); QuarantineFile('C:\Windows\TEMP\clearcache.dll',''); DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32'); DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32'); DeleteFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','32'); DeleteFile('C:\Users\MainUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk','32'); DeleteFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','32'); DeleteFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "InternetBF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "InternetSF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7D005AF7-7E19-4ED7-A237-8D30C34C4E20" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true, ' '); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser'); DeleteFileMask('C:\Users\MainUser\AppData\Local\Hostinstaller', '*', true, ' '); DeleteDirectory('C:\Users\MainUser\AppData\Local\Hostinstaller'); DeleteFileMask('C:\Users\MainUser\AppData\Roaming\PBot', '*', true, ' '); DeleteDirectory('C:\Users\MainUser\AppData\Roaming\PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ccamyuyxhq'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Максим Павельев Опубликовано 18 января, 2017 Автор Опубликовано 18 января, 2017 KLAN-5672677429 Thank you for sending a file for analysis to the Anti-Virus Lab.Kaspersky Anti-Virus has scanned files.Riskware application which may harm your computer was detected in files:644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe - not-a-virus:Downloader.NSIS.Agent.afp3738792118_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gensvchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tbNo malware detected in files:launchall.pyWe will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.This is an automatically generated message. Please, do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ AdwCleaner_S0.txt
SQ Опубликовано 18 января, 2017 Опубликовано 18 января, 2017 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти