олежек 0 Опубликовано 22 февраля, 2017 Share Опубликовано 22 февраля, 2017 доброго времени суток, собственно сабж, всеми известными мне способами побороть не удалось, касперский на машине стоит лицензионный, KES 10, куритом, и ремовал тулом находится удаляется но при следующей проверке находится там же в темпе. CollectionLog-2017.02.22-15.28.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 февраля, 2017 Share Опубликовано 22 февраля, 2017 Здравствуйте! 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 февраля, 2017 Автор Share Опубликовано 22 февраля, 2017 (изменено) вот. ClearLNK-22.02.2017_18-40.log Addition.txt FRST.txt Shortcut.txt Изменено 22 февраля, 2017 пользователем олежек Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 февраля, 2017 Share Опубликовано 23 февраля, 2017 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1103806030-2542414602-944563772-1187\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM-x32\...\Run: [] => [X] BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1103806030-2542414602-944563772-1187 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1785443142-1932646275-2655762095-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF user.js: detected! => C:\Users\vosheter\AppData\Roaming\Mozilla\Firefox\Profiles\7m9811d3.default-1450341205458\user.js [2015-12-16] CHR Extension: (No Name) - C:\Users\vosheter\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-02-22] CHR Extension: (No Name) - C:\Users\vosheter\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfbmiedjenagoegiiabjfjpkhfocifkp [2017-02-22] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] 2017-02-20 17:41 - 2017-02-22 18:45 - 00016704 _____ C:\Windows\System32\Tasks\364M55L15l530 2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ___HD C:\Users\Все пользователи\364M55L15l530 2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ___HD C:\ProgramData\364M55L15l530 2017-02-20 17:41 - 2017-02-20 17:41 - 00000000 ____D C:\Windows\IObit 2017-02-20 17:41 - 2017-02-20 17:41 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS 2017-02-20 09:47 - 2017-02-20 09:47 - 00000000 ____D C:\Users\vosheter\AppData\Local\{7DB0DF17-BE44-4A02-8D31-10ACD825FFEC} 2017-02-17 10:00 - 2017-02-17 10:00 - 00000000 ____D C:\Users\vosheter\AppData\Local\{3BE6F5CD-D7E9-43D8-89E4-5401752F2CCA} 2017-02-16 09:58 - 2017-02-16 09:58 - 00000000 ____D C:\Users\vosheter\AppData\Local\{0C0DFE94-98BF-4013-A5FB-8C2B1B8E1DCC} 2017-02-15 10:05 - 2017-02-15 10:06 - 00000000 ____D C:\Users\vosheter\AppData\Local\{1D38B3F7-36D0-4615-8CC3-C2C0794D6C41} 2017-02-14 09:47 - 2017-02-14 09:47 - 00000000 ____D C:\Users\vosheter\AppData\Local\{AE370827-1E93-4CD4-BD5E-69749D84FBCF} 2017-02-13 10:11 - 2017-02-13 10:11 - 00000000 ____D C:\Users\vosheter\AppData\Local\{83ED6E89-4344-4428-9842-C43D83666271} 2017-02-10 09:54 - 2017-02-10 09:54 - 00000000 ____D C:\Users\vosheter\AppData\Local\{E27E136F-1612-40F0-9036-9D0B950322AC} 2017-02-09 10:22 - 2017-02-09 10:22 - 00000000 ____D C:\Users\vosheter\AppData\Local\{3866254E-E990-4D29-813F-3D026CA8F726} 2017-02-08 10:00 - 2017-02-08 10:00 - 00000000 ____D C:\Users\vosheter\AppData\Local\{CDF6E66A-7E38-42C7-B10F-91F38290D928} 2017-02-07 12:07 - 2017-02-07 12:07 - 00000000 ____D C:\Users\vosheter\AppData\Local\{170208F0-5C34-404E-BA6E-25E61C91E3EA} 2017-02-06 09:57 - 2017-02-06 09:57 - 00000000 ____D C:\Users\vosheter\AppData\Local\{1ED7FDFE-364A-4E22-8838-694D0EBA3F11} 2017-02-03 15:07 - 2017-02-03 15:07 - 00000000 ____D C:\Users\vosheter\AppData\Local\{7BB6E080-2EC8-4B6F-88C4-0766149161CA} 2017-02-02 10:08 - 2017-02-02 10:08 - 00000000 ____D C:\Users\vosheter\AppData\Local\{8B47AB51-CE61-4349-84AF-4C4E4C44CA39} 2017-02-01 10:10 - 2017-02-01 10:10 - 00000000 ____D C:\Users\vosheter\AppData\Local\{74293A70-3A0A-478D-9402-A566173B12DA} 2017-01-31 10:02 - 2017-01-31 10:02 - 00000000 ____D C:\Users\vosheter\AppData\Local\{50845C14-BEBC-42BF-BA46-0F2BBBA2591F} 2017-01-30 09:57 - 2017-01-30 09:57 - 00000000 ____D C:\Users\vosheter\AppData\Local\{06332AF0-0764-4F3E-98D9-8ABE328AB682} 2017-01-27 10:11 - 2017-01-27 10:11 - 00000000 ____D C:\Users\vosheter\AppData\Local\{8205BE60-318C-4F2A-901A-18D09AE1D777} 2017-01-26 09:50 - 2017-01-26 09:50 - 00000000 ____D C:\Users\vosheter\AppData\Local\{CDA36897-6A47-40BF-833E-E2815FB6DDDF} 2017-01-25 10:17 - 2017-01-25 10:17 - 00000000 ____D C:\Users\vosheter\AppData\Local\{E758D0C8-81B6-40D7-AE8D-263111A5F453} 2017-01-24 10:03 - 2017-01-24 10:03 - 00000000 ____D C:\Users\vosheter\AppData\Local\{754CEF26-D6A8-4EDA-9AFF-0A52B4BEF340} 2017-01-23 10:02 - 2017-01-23 10:03 - 00000000 ____D C:\Users\vosheter\AppData\Local\{9868715A-53B1-44A2-8504-28C3E01FBF7B} FirewallRules: [{24416196-B34F-48D1-803D-17A42A2093D5}] => (Allow) C:\Program Files\UBar\ubar.exe 2017-02-22 10:56 - 2017-02-22 15:58 - 03742208 _____ () C:\Windows\TEMP\gD73B.tmp 2017-02-22 10:56 - 2017-02-22 15:58 - 03530240 _____ () C:\Windows\TEMP\g1759.tmp 2017-02-20 17:41 - 2014-03-22 12:54 - 03081216 _____ () C:\ProgramData\364M55L15l530\364M55L15l530.dll Task: {C0668446-6E9A-4B3D-9186-E1C005C1B1E4} - System32\Tasks\364M55L15l530 => Rundll32.exe "C:\ProgramData\364M55L15l530\364M55L15l530.dll",MLlyqZbF <==== ATTENTION C:\Program Files\UBar\ EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.+ приложите логи AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 23 февраля, 2017 Автор Share Опубликовано 23 февраля, 2017 (изменено) готово. Fixlog.txt AdwCleanerS3.txt Изменено 23 февраля, 2017 пользователем олежек Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 февраля, 2017 Share Опубликовано 23 февраля, 2017 удалите в AdfwCleaner Найден параметр: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd] что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 24 февраля, 2017 Автор Share Опубликовано 24 февраля, 2017 запустил проверку KES все там же, и с разу же находится, запустил AdfwCleaner, ни чего не находит, "сходил" в реестр по указанному пути руками пусто. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 24 февраля, 2017 Share Опубликовано 24 февраля, 2017 "сходил" в реестр по указанному пути руками пусто. руками не надо.https://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160приложите лог MBAM/http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 1 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 25 февраля, 2017 Автор Share Опубликовано 25 февраля, 2017 "сходил" в реестр по указанному пути руками пусто. руками не надо. https://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 приложите лог MBAM/ http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635256 про руки понятно, и понятно как делать, просто он не нашел ни чего, от того и "смотрел" руками. MBAM после первой проверки ни чего не дат сохранить, только перезагрузка, нашел чего то 9 штук, после перезагрузки дал уже сохранить отчет, прилагаю его. Malwarebytes.txt Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 26 февраля, 2017 Автор Share Опубликовано 26 февраля, 2017 вчера не один раз Malwarebytes находил, перезагружался, вечером уже довольно поздно на ночь запустил его еще один раз, и KES, ни чего не найдено. думаю что проблема решена, спасибо. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Проделайте завершающие шаги: 1. Деинсталлируйте MBAM. 2. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.