Есть подозрительные файлы

[Castle90]

При проверке программой Virus removal tool нашел 4 подозрительных файла на системном диске. HEUR:Trojan.Script.StartPageTask.a. Находится он по адрессу C:\Windows\System32\Tasks\cFos\Registration Tasks\Open Browser. Программа  хочет его удалить.Но я точно знаю это скрипт др программы  cFocSpeed (использую ее для уменьшения пинга в играх), загрузил этот файл на virustotal. Ругнулся на этот файл только Каспер. ((. Это надеюсь какая-то ошибка самого Каспера?

 

А также 3 др файла с not-a-virus:WebToolbar.Win32.Asparnet.ay. Программа решает пропустить. Пишет легальная программа бла бла бла.... Вот вопрос что мне делать?

 

Также проверил по советам dr web cureit - ничего подозрительного он не нашел. Ос win 7

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Castle90]

Порядок оформления запроса о помощи

CollectionLog-2017.02.01-04.24.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

autorun

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\edward\appdata\local\autorun', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\adobe\flash player\7877e207-a701-4a29-9a47-14e45220aaa8', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Edward\AppData\Local\autorun\autorun.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\7877E207-A701-4A29-9A47-14E45220AAA8\FFB8E0B6-DAF6-4C01-A416-FB39FA41CA82.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "autorun" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\7877E207-A701-4A29-9A47-14E45220AAA8" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7877E207-A701-4A29-9A47-14E45220AAA8" /F', 0, 15000, true);
 DeleteFile('C:\Users\Edward\AppData\Local\autorun\autorun.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\7877E207-A701-4A29-9A47-14E45220AAA8\FFB8E0B6-DAF6-4C01-A416-FB39FA41CA82.exe', '32');
 DeleteFileMask('c:\users\edward\appdata\local\autorun', '*', true);
 DeleteDirectory('c:\users\edward\appdata\local\autorun');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Castle90]

При выполнении скрипта возникли проблемы, а именно, при загрузке винды выполз синий экран. Это уже моя ошибка с драйверами. К делу думаю это не относится. Пришлось делать восстановление системы, удалять проги по новой, и запускать скрипт.

При удалении именно программы unity web player выползла ошибка про деинсталяцию, но программа была всё ж удалена.

Так как я не являюсь пользователем продуктов Лаборатории Касперского. пришлось закинуть файл quarantine.zip вот сюда https://scan.kaspersky.ru/Home/Result. При загрузке этого самого файла выдало:

Результат проверки

файл содержит ошибки 

Что мне делать в этом случае?

 

Прикрепляю всё что просили...(логи)

 

 

 

ClearLNK-02.02.2017_00-09.log

AdwCleanerS0.txt

[Sandor]

Пришлось делать восстановление системы

Нужно было после этого собрать свежий CollectionLog. Но пока не надо, продолжим.

 

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Так как я не являюсь пользователем

Разве для отправки по адресу требуется быть пользователем ЛК?

[Castle90]

Насчет восстановления системы делал 5 часов назад резервную копию до того как не поставил косячные драйвера, вот она мне оказывается и пригодилась (а то даж загрузиться не мог). И по файлу который я загрузил касперу, он ведь оказался битым, не так-ли?

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

он ведь оказался битым, не так-ли?

Пока не знаю. Залейте его на файлообменник, ссылку на скачивание мне в ЛС.

 

Далее:

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=821272
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B54970202-B488-41D1-8AF2-524284269247%7D&gp=821273
FF Extension: (No Name) - C:\Users\Edward\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exnetwork@biz-come.net [2014-07-26] [not signed]
Task: {73A4E05B-E449-4E34-B1D1-65ECA93E79C4} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {77E9AFA2-BEAA-4B45-B29B-3F390E3E8687} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {AD85CF91-0BD0-4817-B5BF-5EEFEC31A2D1} - \SafeBrowser -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Castle90]

Вот как и просили, ссылку на файл сбросил в лч.

Fixlog.txt

Изменено 3 февраля, 2017 пользователем Castle90

[Sandor]

Не нужно. Что сейчас с проблемой?

[Castle90]

Запустил заново virus removal tool с галкой проверить системный диск. Обнаружил один объект HEUR:Trojan.Script.StartPageTask.a и предлагает этот файл удалить. Опять по тому ж адрессу C:\Windows\System32\Tasks\cFos\Registration Tasks\Open Browser.

 

Мне проигнорировать?

[Sandor]

Есть такой термин "Ложное срабатывание". Можете указанный файл отправить через форму с соотв. указанием.

 

Если в остальном порядок, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Castle90]

Спасибо большое. Файл был успешно отправлен.

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Дата установки обновлений: 2014-05-23 14:31:08

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 ActiveX v.24.0.0.186 Внимание! Скачать обновления

Adobe Flash Player 24 NPAPI v.24.0.0.186 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Registry Repair 5.0.1.82 v.5.0.1.82 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

Последнюю если решите удалять, пробуйте стандартно, через Панель управления.