Bester 0 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 (изменено) КИС 2017 несколько раз за последнее время детектирует и удаляет объект, который опознается как Backdoor.php.ajash.a. Появляется он в кэше браузера Opera, который используется как основной браузер системы. Если кто знает, что это за угроза и как лучше ей противостоять и убрать повторное появление. http://SSMaker.ru/17080fda/. Файл протоколов прилагаю ниже. Проблема появилась буквально 2 дня назад при запуске браузерной игры в соц. сети " в контакте". И еще Kaspersky показывает файл autokms.exe, что с ним не все в порядке http://SSMaker.ru/b5093f12/ CollectionLog-2017.02.27-11.20.zip Изменено 27 февраля, 2017 пользователем Bester Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Здравствуйте! Kaspersky показывает файл autokms.exe, что с ним не все в порядкеДобавьте файл в Доверенные. Далее: Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\admin\appdata\roaming\macromedia\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\Admin\AppData\Roaming\Macromedia\Realtek HD\rthdcpl.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true); DeleteFile('C:\Users\Admin\AppData\Roaming\Macromedia\Realtek HD\rthdcpl.exe', '32'); DeleteFileMask('c:\users\admin\appdata\roaming\macromedia\realtek hd', '*', true); DeleteDirectory('c:\users\admin\appdata\roaming\macromedia\realtek hd'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 (изменено) Здравствуйте! Kaspersky показывает файл autokms.exe, что с ним не все в порядкеДобавьте файл в Доверенные. Далее: Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\admin\appdata\roaming\macromedia\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\Admin\AppData\Roaming\Macromedia\Realtek HD\rthdcpl.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true); DeleteFile('C:\Users\Admin\AppData\Roaming\Macromedia\Realtek HD\rthdcpl.exe', '32'); DeleteFileMask('c:\users\admin\appdata\roaming\macromedia\realtek hd', '*', true); DeleteDirectory('c:\users\admin\appdata\roaming\macromedia\realtek hd'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. файл autoksm.exe добавил в доверенные, скрипт выполнил, файл по указанному адресу отправил. Вопрос--мне дождаться ответа от получателя этого файла или можно опять начать диагностику? И еще вопрос-эту диагностику проводить с подключенным интернетом? Получил ответ на запрос--публикую ниже Re: quarantine.zip [KLAN-5889466203] newvirus@kaspersky.com Кому: Александр Литвиненко сегодня, 13:12 Спасибо, что отправили файл на исследование в Антивирусную Лабораторию. Антивирус Касперского проверил файлы. Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах rthdcpl_.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aqo Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Изменено 27 февраля, 2017 пользователем Bester Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Делайте до получения ответа. Не отключайте сеть. Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 провел повторную диагностику, файл прилагаю ниже. Жду дальнейших инструкций CollectionLog-2017.02.27-13.42.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 сейчас опробую, но странное дело вирус появлялся только в соц. сети "в контакте", в других соц. сетях пока такого не замечал... немного погоняю комп и сообщу результат Вы знаете, зашел в соц. сеть и снова это сообщение о вирусе Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 выполнил сканирование, отчет прилагаю в файле AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 высылаю запрашиваемые файлы жду дальнейших инструкций AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3703334107-3024536269-987132552-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Если сохраняется, проверьте в другом браузере, например, в IE. Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 готово может быть такое, что имеет место ложное срабатывание антивируса? это окончательная операция? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 проверьте в другом браузереПроверили? Цитата Ссылка на сообщение Поделиться на другие сайты
Bester 0 Опубликовано 27 февраля, 2017 Автор Share Опубликовано 27 февраля, 2017 сейчас проверю через оперу... если повторится попробую, как вы советуете через другой браузер, но еще раз повторюсь, что проблемы возникают в соц. сети " в контакте", в других сетях такого пока не замечал проверил через ie--результат тот же, то же сообщение выскакивает http://SSMaker.ru/6e64c1cb/ тройного расширения не видать только... что же это? ну не знаю, может касперский видит угрозу там, где ее нет? бывает же такое, что после очередной обновы баз он начинает подозревать ранее безопасные файлы в зловредительстве? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.