Перейти к содержанию
Правила раздела

Что-то пытается закинуть вирусный файл в папку гугл хрома

DeadAgain

Автор DeadAgain
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DeadAgain

DeadAgain

Опубликовано
Опубликовано (изменено)

Это происходит уже больше недели, если не меньше. Антивирус удаляет файл, который появляется снова. Путь к этому файлу всегда один: C:\Users\gromerten\AppData\Local\Google\Chrome\User\Data\Default\Cache\f_00456a

Антивирус удаляет именно f_00456a, помечает его как Backdoor.PHP.Ajash.a 

Все предложенные программы я использовал, но так и не нашёл на компьютере то, что отвечает за создание или загрузку этого файла.  :nea:

CollectionLog-2017.01.22-17.15.zip

Изменено пользователем DeadAgain
Roman_Five

Roman_Five

Опубликовано
Опубликовано

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

DeadAgain

DeadAgain

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал всё по инструкции


Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Всё сделал

CollectionLog-2017.01.22-22.04.zip

FRST.txt

Addition.txt

AdwCleanerS0.txt

Изменено пользователем DeadAgain
DeadAgain

DeadAgain

Опубликовано
  • Автор
Опубликовано

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
 
Сделайте новые логи по правилам (только пункт 2).
+
 
приложите лог FRST и AdwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Нужно ждать ответа от лаборатории, или есть ещё рекомендации?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...