Мария Мавлюдова Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 KAV обнаруживает UDS:DangerousObject.Multi.Generic, но на попытки устранить не реагирует никак. Kaspersky Virus Removal Tool его не находит. Логи прилагаю. CollectionLog-2017.02.18-16.48.zip
thyrex Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\HhHvxhF.exe',''); QuarantineFile('C:\Users\Мария\AppData\Roaming\newSI_620\s_inst.exe',''); QuarantineFile('C:\Users\Мария\AppData\Roaming\newSI_611\s_inst.exe',''); QuarantineFile('C:\Users\Мария\ReportSender\ReportSender.exe',''); DeleteFile('C:\WINDOWS\Tasks\newSI_611.job','32'); DeleteFile('C:\WINDOWS\Tasks\newSI_620.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for VK OK AdBlock.job','32'); DeleteFile('C:\Users\Мария\ReportSender\ReportSender.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','64'); DeleteFile('C:\Users\Мария\AppData\Roaming\newSI_611\s_inst.exe','32'); DeleteFile('C:\Users\Мария\AppData\Roaming\newSI_620\s_inst.exe','32'); DeleteFile('C:\Program Files (x86)\VK OK AdBlock\HhHvxhF.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Мария Мавлюдова Опубликовано 18 февраля, 2017 Автор Опубликовано 18 февраля, 2017 KLAN-5820946282 Ответ: Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:ReportSender.exeМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. Новые логи прикреплены. CollectionLog-2017.02.18-17.57.zip
thyrex Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Мария Мавлюдова Опубликовано 18 февраля, 2017 Автор Опубликовано 18 февраля, 2017 Отчеты FRST FRST64.7z
thyrex Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Restriction - Chrome <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms} HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX SearchScopes: HKU\S-1-5-21-2141337335-2679314867-2874535996-1002 -> 1DA4E9B1F5EFAE00CD7E56CD054A284C URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms} FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-10-15] [not signed] CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\81E4~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2016-10-19] CHR HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2012-09-23] CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR Extension: (Ads Killer) - C:\Users\Мария\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea [2016-12-14] 2017-01-09 13:52 - 2017-01-09 13:52 - 1979072 _____ (BitTorrent Inc.) C:\Users\vitgr\AppData\Local\Temp\utt15C9.tmp.exe 2017-02-04 08:15 - 2017-02-04 08:15 - 2143936 _____ (BitTorrent Inc.) C:\Users\vitgr\AppData\Local\Temp\utt7B35.tmp.exe 2017-02-08 22:35 - 2017-01-18 20:41 - 4167384 _____ (Mail.Ru) C:\Users\Мария\AppData\Local\Temp\MailRuUpdater.exe 2017-02-05 17:10 - 2017-02-05 17:10 - 2143936 _____ (BitTorrent Inc.) C:\Users\Мария\AppData\Local\Temp\utt3725.tmp.exe 2017-02-05 17:15 - 2017-02-05 17:15 - 2143936 _____ (BitTorrent Inc.) C:\Users\Мария\AppData\Local\Temp\uttC73D.tmp.exe Task: {0261602D-3EBA-4A04-A441-FB33CAACE19D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {0386D89B-A692-4F97-9D59-4AF67D22C9CD} - \newSI_620 -> No File <==== ATTENTION Task: {3F09CCBE-E8E7-4A13-A7E0-4D4733AE8ABC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {443D3611-EB62-40E7-83B0-1137A278C1D2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {481300C0-4BE3-42FB-ABAE-504C8C0B6255} - \WPD\SqmUpload_S-1-5-21-2141337335-2679314867-2874535996-1002 -> No File <==== ATTENTION Task: {4A6885EC-AB92-42D8-99FC-1F00CF16DDEA} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION Task: {4D3C37FB-AA00-4C9A-A744-769EF68D4256} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {52D8B795-D57A-4C78-A128-2D52C7E9407F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {73F08402-C891-4274-848A-370258A5FA8B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {A835AD1A-916F-434A-B47F-659F4A742C26} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {B1F9DD60-A39B-4941-9BDF-4E8189FEEBAD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {B214304F-5EC6-4C4B-BC03-7B4FA8944B93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {DE05F4A6-56A8-491D-8743-1CD11B4847FD} - \newSI_611 -> No File <==== ATTENTION Task: {EB403C67-E452-421A-A506-FD2BA7F436B2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {F7BCEEF3-D4CE-4E5B-AC82-28A29E4595BB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {FAB4F5F8-6DCD-4F3F-9F5F-1513A28DEE94} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\Все пользователи:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\vitgr\Application Data:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\vitgr\AppData\Roaming:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\Мария\Application Data:iSpring Suite 8 Ru [128] AlternateDataStreams: C:\Users\Мария\AppData\Roaming:iSpring Suite 8 Ru [128] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
Мария Мавлюдова Опубликовано 18 февраля, 2017 Автор Опубликовано 18 февраля, 2017 Может проще ось переустановить? Fixlog.txt
thyrex Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 Если проблема актуальна, тогда сообщите, в каком файле антивирус находит заразу
Мария Мавлюдова Опубликовано 18 февраля, 2017 Автор Опубликовано 18 февраля, 2017 Обнаруженный объект (память процесса) не обработан c:\users\мария\appdata\local\temp\d4f424f6-3bfe-418a-9d0a-fcd69de3b966.exe Память процесса: c:\users\мария\appdata\local\temp\d4f424f6-3bfe-418a-9d0a-fcd69de3b966.exe Название объекта: UDS:DangerousObject.Multi.Generic Тип объекта: Неизвестный объект Вручную искала, нет такого файла в папке (отображение скрытых файлов включено). Что это может быть?
thyrex Опубликовано 18 февраля, 2017 Опубликовано 18 февраля, 2017 Очистите отчеты антивируса с найденными угрозами, запустите сканирование и сообщите результат после его окончания
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти