Перейти к содержанию
Правила раздела

Что-то пытается закинуть вирусный файл в папку гугл хрома

DeadAgain

От DeadAgain
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

DeadAgain Новичок

DeadAgain

Опубликовано
Опубликовано (изменено)

Это происходит уже больше недели, если не меньше. Антивирус удаляет файл, который появляется снова. Путь к этому файлу всегда один: C:\Users\gromerten\AppData\Local\Google\Chrome\User\Data\Default\Cache\f_00456a

Антивирус удаляет именно f_00456a, помечает его как Backdoor.PHP.Ajash.a 

Все предложенные программы я использовал, но так и не нашёл на компьютере то, что отвечает за создание или загрузку этого файла.  :nea:

CollectionLog-2017.01.22-17.15.zip

Изменено пользователем DeadAgain
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
DeadAgain Новичок

DeadAgain

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал всё по инструкции


Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Всё сделал

CollectionLog-2017.01.22-22.04.zip

FRST.txt

Addition.txt

AdwCleanerS0.txt

Изменено пользователем DeadAgain
Ссылка на комментарий
Поделиться на другие сайты
DeadAgain Новичок

DeadAgain

Опубликовано
  • Автор
Опубликовано

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Нужно ждать ответа от лаборатории, или есть ещё рекомендации?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • grammer91
      [РЕШЕНО] Powershell пытается запустить переход по вредоносной ссылке
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • para87
      [РЕШЕНО] браузер сам пытается перейти на сайт
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • AL_o
      Прокатило (вирусный, неочевидный для пользователя метод реализации продуктов лаборатории)
      От AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • Сергѣй
      Как удалить/исцелить файлы в корневой папке андроида 13?
      От Сергѣй
      Использую сбербанк онлайн с встроенным антивирусом Касперского, который находит 2 файла с троянами в корневой папке, но удалить их не может, как решить эту задачу?





×
×
  • Создать...