Luciferatom Опубликовано 27 февраля, 2017 Share Опубликовано 27 февраля, 2017 С помощью kaspersky internet security был обнаружен этот вирус, после лечения все равно появляется. Появился скорее всего, во время загрузки файлов, через сетевую игру CollectionLog-2017.02.27-18.11.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\Temp\gC8AC.tmp.exe'); StopService('clr_optimization_v1.03'); QuarantineFile('C:\Windows\Temp\gC8AC.tmp.exe', ''); QuarantineFile('C:\Users\cross\AppData\Roaming\System\svchost.exe', ''); QuarantineFile('C:\ProgramData\806I42I47L1481\806I42I47L1481.dll', ''); DeleteFile('C:\ProgramData\806I42I47L1481\806I42I47L1481.dll'); DeleteFile('C:\Windows\Temp\gC8AC.tmp.exe', '32'); DeleteFile('C:\Users\cross\AppData\Roaming\System\svchost.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','wd'); DeleteService('clr_optimization_v1.03'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Luciferatom Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 KLAN-5895537544 Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CloseProcesses: HKLM\...\RunOnce: [wd] => C:\Windows\TEMP\g3209.tmp.exe [191488 2017-02-28] () <===== ATTENTION GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION HKU\S-1-5-21-1427571533-274162252-2679415443-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811021 SearchScopes: HKU\S-1-5-21-1427571533-274162252-2679415443-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B95AFBC2D-B4A3-46D2-8030-53F2E91C7FBA%7D&gp=811022 FF DefaultSearchEngine: Mozilla\Firefox\Profiles\3y66wpe5.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\3y66wpe5.default -> Поиск@Mail.Ru FF Keyword.URL: Mozilla\Firefox\Profiles\3y66wpe5.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B66F06CEB-431F-4F66-BE88-589C3D1B4C52%7D&gp=820335 2017-02-28 13:09 - 2017-02-28 13:43 - 00016712 _____ C:\Windows\System32\Tasks\3044S30J10u7448-dll 2017-02-28 12:26 - 2017-02-28 12:26 - 00001496 _____ C:\Windows\Tasks\806I42I47L1481.job 2017-02-26 20:46 - 2017-02-28 13:57 - 00016712 _____ C:\Windows\System32\Tasks\3044S30J10u7448 2017-02-26 20:46 - 2017-02-26 20:46 - 00016708 _____ C:\Windows\System32\Tasks\s2hk- 2017-02-26 20:46 - 2017-02-26 20:46 - 00000000 ___HD C:\Users\Все пользователи\3044S30J10u7448 2017-02-26 20:46 - 2017-02-26 20:46 - 00000000 ___HD C:\ProgramData\3044S30J10u7448 2017-02-20 17:22 - 2017-02-27 18:00 - 00000000 ____D C:\Windows\System32\Tasks\temp 2017-02-20 13:23 - 2017-02-26 12:25 - 00000000 ____D C:\Windows\System32\Tasks\flash 2017-02-19 20:45 - 2017-02-24 19:12 - 00016708 _____ C:\Windows\System32\Tasks\reader 11 2017-02-19 20:45 - 2017-02-19 20:45 - 00000000 ____D C:\Windows\System32\Tasks\reader 11-0 2017-02-19 20:43 - 2017-02-28 12:14 - 00016708 _____ C:\Windows\System32\Tasks\806I42I47L1481-dll 2017-02-19 20:16 - 2017-02-28 12:26 - 00016708 _____ C:\Windows\System32\Tasks\806I42I47L1481 2017-02-19 20:16 - 2017-02-28 12:26 - 00000000 ___HD C:\Users\Все пользователи\806I42I47L1481 2017-02-19 20:16 - 2017-02-28 12:26 - 00000000 ___HD C:\ProgramData\806I42I47L1481 2017-02-19 20:16 - 2017-02-19 20:28 - 00000000 ____D C:\Users\Все пользователи\vCore 2017-02-19 20:16 - 2017-02-19 20:28 - 00000000 ____D C:\ProgramData\vCore 2017-01-29 19:03 - 2017-01-29 19:03 - 00003022 _____ C:\Windows\System32\Tasks\{B2C8C698-E977-4A5A-B2CA-E8AD7BA32C58} 2017-01-29 19:03 - 2017-01-29 19:03 - 00003022 _____ C:\Windows\System32\Tasks\{97AF9D14-3AE7-4F1C-BE57-160BF4E124A8} 2017-01-29 19:03 - 2017-01-29 19:03 - 00003022 _____ C:\Windows\System32\Tasks\{8189EACA-AD53-4556-886B-087C6DF084AD} 2017-01-29 19:03 - 2017-01-29 19:03 - 00003022 _____ C:\Windows\System32\Tasks\{67372926-CDDA-4186-8810-1A6559F11E50} 2017-01-29 19:03 - 2017-01-29 19:03 - 00003022 _____ C:\Windows\System32\Tasks\{59DC2D0E-E2E1-4044-BE0A-BE437CC7342B} Task: {05D0112E-334F-476E-8F34-0447D6B31FD1} - System32\Tasks\temp\rar$exb0-983\krt_5-0-0-111 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {0809DA1B-5CC6-4C6C-BFC2-35E02484E412} - System32\Tasks\avp17-0-0\data\patchmanagement\download_storage\34d17971fc2412846771043c60792cf8d62ce319910101ade800d86a748a698a_install_flash_player_ax => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {1B22D9B4-3909-49A2-97AD-19E6E93CF191} - System32\Tasks\temp\~nsua-tmp\au_ => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {2A088FA5-7E71-4D7C-825A-AE694CE3DB7F} - System32\Tasks\avp17-0 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {2A5EA87F-5E97-48B1-8F6F-6C06A08D3A3C} - System32\Tasks\temp\rar$exa0-654\xrai-soc\bins\compiler_ai\xrai => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {2C794678-334F-422C-895F-30D70F4E1F20} - System32\Tasks\temp\rar$exa0 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {4684A7C4-071A-4453-B72E-E792BC8931D9} - System32\Tasks\flash\flashplayerplugin_24_0_0_221 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {4C125E8E-B322-4AED-A184-8FD547CB735F} - System32\Tasks\temp\rar$exb0-983\krt_5-0-0 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {58DE5453-AA38-40A1-B7D8-502117460884} - System32\Tasks\temp\rar$exb0-983\krt_5-0 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {59A4B39B-FB79-4DCB-9416-B3AA373AEDC7} - System32\Tasks\reader 11 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {5A86AF2C-8DE1-4223-9F9C-FEA07396304B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {601E35B1-966A-4655-89C7-031A537D5DAA} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\\ProgramData\\vCore\\VCore.exe [2017-02-11] () <==== ATTENTION Task: {7BA398C4-373C-4FE3-A49E-3E92A0FD8792} - System32\Tasks\reader 11-0\reader\eula => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {7F5DFFF4-A611-4763-8A00-145B3CE78CF6} - System32\Tasks\806I42I47L1481 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ <==== ATTENTION Task: {7F9D9985-4062-4097-97CD-EA16A6D7EBBB} - System32\Tasks\temp\rar$exa0-252\avz4\avz => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {8F0201EE-CE24-4D27-AFD6-A86B8BD035B5} - System32\Tasks\flash\flashplayerplugin_22_0_0_192-exe => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {9F929818-4195-4C11-A520-FFB5C6ECDEC5} - System32\Tasks\temp\uninstall => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {A3B12ADE-AB1A-4364-80C5-01B43AE334C2} - System32\Tasks\temp\{2c85130e-500c-4348-aff4-9326ab9a54d9}\{8c9517f0-7a0f-4595-ad71-560351e2c702} => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {A92AC29C-BAE8-4784-A201-22F97A6D9E25} - System32\Tasks\s2hk- => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {A9A86D3E-0070-4044-BC4E-31F3E822AAA1} - System32\Tasks\806I42I47L1481-dll => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {AB2DF5CF-B915-46A6-954C-73A780EE9C9A} - System32\Tasks\temp\rar$exa0-613\avz4\avz => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {AC14D76E-0541-465B-95BB-D82C948D61A2} - System32\Tasks\flash\flashplayerplugin_22_0_0_192 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {AFBE2B7A-58A4-4B5E-AD7A-66FE758D9A66} - System32\Tasks\3044S30J10u7448-dll => Rundll32.exe "C:\ProgramData\3044S30J10u7448\3044S30J10u7448.dll",SJupFraI Task: {B2F26180-6798-49B9-A5F2-1D378B46980D} - System32\Tasks\temp\{3058403c-3404-4f76-bc5c-1d7d983d9556}\installflashplayer => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {B97C98E7-B471-4715-BDCB-CAC701A4054A} - System32\Tasks\3044S30J10u7448 => Rundll32.exe "C:\ProgramData\3044S30J10u7448\3044S30J10u7448.dll",SJupFraI <==== ATTENTION Task: {C3FD6658-0103-4478-ADCE-6420C0FE46C6} - System32\Tasks\reader 11-0\reader\acrord32 => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {C61A1AA4-576C-4CBD-A57B-3C732EABF325} - System32\Tasks\hda\ravcpl64 => Rundll32.exe "C:\ProgramData\3044S30J10u7448\3044S30J10u7448.dll",SJupFraI Task: {D19CB6DE-382F-4E84-8B8E-31F677CF9DAE} - System32\Tasks\temp\{add7015e-5af6-49ae-94fd-560b52fa6833}\installflashplayer => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {D461F1C0-615C-4A9C-AE7A-22CD418AAF62} - System32\Tasks\temp\rar$exa0-374\autologger-test => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {DD483E95-F2BB-42D2-89BC-C940182430E6} - System32\Tasks\temp\a792e802-fab8-11e6-bb27-d050995992c5\test_wpf => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {DF9FE768-4311-475D-9D61-6B3F2ADDB117} - System32\Tasks\flash\flashutil32_24_0_0_221_pepper-exe => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: {F9FB73DE-D42F-4AC9-8B67-899E5341281B} - System32\Tasks\temp\{a473c9aa-f180-4314-a661-38ac9b4e39bf}\installflashplayer => Rundll32.exe "C:\ProgramData\806I42I47L1481\806I42I47L1481.dll",IILUsWWZ Task: C:\Windows\Tasks\806I42I47L1481.job => rundll32.exe C:\ProgramData\806I42I47L1481\806I42I47L1481.dll <==== ATTENTION 2017-02-26 20:46 - 2014-03-22 22:25 - 03082752 _____ () C:\ProgramData\3044S30J10u7448\3044S30J10u7448.dll 2017-02-28 13:56 - 2017-02-28 13:56 - 00191488 _____ () C:\Windows\TEMP\g3209.tmp.exe 2017-02-28 13:56 - 2017-02-28 13:56 - 03730944 _____ () C:\Windows\TEMP\g2CE9.tmp EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Luciferatom Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 Есть Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Что с проблемой? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Luciferatom Опубликовано 28 февраля, 2017 Автор Share Опубликовано 28 февраля, 2017 Пока тихо, никаких лишних процессов, темп файлы с теми названиями не создаются. Спасибо Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 февраля, 2017 Share Опубликовано 28 февраля, 2017 Все утилиты лечения и папки, включая C:\FRST, можно просто удалить. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти