Polen_zabanen Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Подхватил несколько вирусов, после того как скачал фейковый софт. Сначала прочистил комп Dr.Web CureIt, он нашёл несколько десятков вирусов, я их удалил, потом прочистил комп adwcleaner, он нашёл около 20 проблем, я их тоже удалил. Но проблема, того что везде лепится реклама, и браузер сам открывается что бы её показать, даже если он закрыт, осталась. Прикладываю логи. CollectionLog-2017.02.25-12.02.zip
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\wbiosrvp.dll',''); QuarantineFile('C:\Windows\system32\themctrl.dll',''); QuarantineFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe',''); QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\app.py',''); QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\ml.py',''); QuarantineFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py',''); DeleteFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','32'); DeleteFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nulzmlufgp'); DeleteFile('C:\Users\artem\AppData\Roaming\aswast\app.py','32'); DeleteFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','32'); DeleteFile('C:\Windows\system32\Tasks\setupsk2','64'); DeleteFile('C:\Windows\system32\Tasks\setupsk','64'); DeleteFile('C:\Windows\system32\Tasks\ComDev','64'); DeleteFile('C:\Windows\system32\Tasks\aswast2','64'); DeleteFile('C:\Windows\system32\Tasks\aswast','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 c:\quarantine.zip отправьте по адресу newvirus@kaspersky.сom Это у меня новый вирус, и вы хотите что бы я им пополнил антивируснуые базы касперского?
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Это стандартная рекомендация после скрипта лечения
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\wbiosrvp.dll',''); QuarantineFile('C:\Windows\system32\themctrl.dll',''); QuarantineFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe',''); QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\app.py',''); QuarantineFile('C:\Users\artem\AppData\Roaming\aswast\ml.py',''); QuarantineFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py',''); DeleteFile('C:\Users\artem\AppData\Roaming\setupsk\ml.py','32'); DeleteFile('C:\Users\artem\AppData\Roaming\aswast\ml.py','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nulzmlufgp'); DeleteFile('C:\Users\artem\AppData\Roaming\aswast\app.py','32'); DeleteFile('C:\Users\artem\AppData\Local\ComDev\ComDev.exe','32'); DeleteFile('C:\Windows\system32\Tasks\setupsk2','64'); DeleteFile('C:\Windows\system32\Tasks\setupsk','64'); DeleteFile('C:\Windows\system32\Tasks\ComDev','64'); DeleteFile('C:\Windows\system32\Tasks\aswast2','64'); DeleteFile('C:\Windows\system32\Tasks\aswast','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger KLAN-5881873101 CollectionLog-2017.02.25-16.10.zip
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. вкусняшки для thurex.rar
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Пожалуйста, не стоит коверкать мой никнейм. Что-нибудь в KLAN написано по поводу файлов wbiosrvp.dll и themctrl.dll ? 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\...\Winlogon: [Shell] C:\Windows\Explorer.exe [4673304 2016-11-11] (Microsoft Corporation) <==== ATTENTION HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210 CHR HomePage: Default -> hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210 CHR StartupUrls: Default -> "hxxp://ontetex.ru/?utm_source=startpage03&utm_content=11d554fdaf2cfd47946ac4d63daf0e2e&utm_term=462AE06CBBDA30A9A997E578092E2BBB&utm_d=20170210" 2017-02-10 10:38 - 2017-02-25 15:16 - 00000000 ____D C:\Users\artem\AppData\Roaming\setupsk 2017-02-10 10:38 - 2017-02-25 15:16 - 00000000 ____D C:\Users\artem\AppData\Roaming\aswast 2017-02-10 10:36 - 2017-02-10 14:28 - 00000000 ____D C:\Users\artem\AppData\Local\ComDev Task: {4AE42471-52BD-4300-B20E-473498F655E1} - \ComDev -> No File <==== ATTENTION Task: {4E1DACB0-8537-4887-B157-08EC7B082C31} - \aswast -> No File <==== ATTENTION Task: {58B58815-7FC8-482B-A672-C77D9606309D} - \setupsk2 -> No File <==== ATTENTION Task: {98202AB5-8922-4235-B1E6-7FCB4343F87F} - \aswast2 -> No File <==== ATTENTION Task: {D6E21105-7000-4E07-A6E2-D6EB20ED6F26} - \setupsk -> No File <==== ATTENTION AlternateDataStreams: C:\Users\artem:Heroes & Generals [38] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 Что-нибудь в KLAN написано по поводу файлов wbiosrvp.dll и themctrl.dll ? Конечно написано. Malicious application was detected in files: wbiosrvp.dll - Trojan.Win32.StartServ.xoc themctrl.dll - Trojan.Win32.StartServ.gw ml_0.py - Trojan.Python.PBot.g 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Fixlog.txt
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Тогда C:\Windows\system32\wbiosrvp.dllC:\Windows\system32\themctrl.dll удалите вручную Проблема решена?
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 Тогда C:\Windows\system32\wbiosrvp.dllC:\Windows\system32\themctrl.dll удалите вручную Проблема решена?
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Сделайте еще раз логи по правилам + Сделайте лог полного сканирования МВАМ
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 + Сделайте лог полного сканирования МВАМ Блиин, это будет очень толго, у меня почти целый теробайт надо будет сканировать. Наверное, придется на ночь поставить.
Polen_zabanen Опубликовано 25 февраля, 2017 Автор Опубликовано 25 февраля, 2017 Сделайте еще раз логи по правилам + Сделайте лог полного сканирования МВАМ отчёт Malwarebytes.txt CollectionLog-2017.02.25-22.47.zip
thyrex Опубликовано 25 февраля, 2017 Опубликовано 25 февраля, 2017 Удалите в МВАМ только PUP.Optional.RussAd, HKU\S-1-5-21-3137982038-3263846985-1148652217-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, [25], [351113],1.0.1355 PUP.Optional.StartPage, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SOFTWARE\START PAGE, Проигнорировано пользователем, [79], [259290],1.0.1355 PUP.Optional.StartPage, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SOFTWARE\START PAGE|START PAGE, Проигнорировано пользователем, [79], [259290],1.0.1355 Hijack.AltShell, HKU\S-1-5-21-3137982038-3263846985-1148652217-1001\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT|ALTERNATESHELL, Проигнорировано пользователем, [18104], [254589],1.0.1355 Выполните скрипт в AVZ begin DeleteFile('C:\Windows\system32\wbiosrvp.dll','32'); DeleteFile('C:\Windows\system32\themctrl.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти