Maxi_bon Опубликовано 27 февраля, 2017 Опубликовано 27 февраля, 2017 Добрый вечер!Подхватил какую-то заразу и теперь в ВК куча рекламных баннеров в левой части и между постами в ленте. CollectionLog-2017.02.27-23.00.zip
Sandor Опубликовано 28 февраля, 2017 Опубликовано 28 февраля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\maxwell\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\MaxWell\AppData\Roaming\aswast\python\pythonw.exe', ''); QuarantineFile('C:\Users\MaxWell\AppData\Roaming\aswast\ml.py', ''); QuarantineFile('C:\Users\MaxWell\AppData\LocalLow\SearchGo\searchgo.dll', ''); DeleteFile('C:\Users\MaxWell\AppData\Roaming\aswast\python\pythonw.exe', '32'); DeleteFile('C:\Users\MaxWell\AppData\Roaming\aswast\ml.py', '32'); DeleteFile('C:\Users\MaxWell\AppData\LocalLow\SearchGo\searchgo.dll', '32'); DeleteFileMask('c:\users\maxwell\appdata\roaming\aswast', '*', true); DeleteDirectory('c:\users\maxwell\appdata\roaming\aswast'); DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4078785661-3068075790-3328035721-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02272017223906738\Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4078785661-3068075790-3328035721-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02272017223906738\Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4078785661-3068075790-3328035721-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02272017224103780\Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_USERS','S-1-5-21-4078785661-3068075790-3328035721-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02272017224103780\Software\Microsoft\Windows\CurrentVersion\Run','aswast'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
Maxi_bon Опубликовано 28 февраля, 2017 Автор Опубликовано 28 февраля, 2017 Возникла проблема с отправкой файла quarantine.zip, он оказался пустой и его нельзя приложить к письму. Остальные логи во вложении ClearLNK-28.02.2017_21-50.log AdwCleanerS0.txt
Sandor Опубликовано 1 марта, 2017 Опубликовано 1 марта, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Maxi_bon Опубликовано 1 марта, 2017 Автор Опубликовано 1 марта, 2017 Отчеты во вложении AdwCleanerS2.txt Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 1 марта, 2017 Опубликовано 1 марта, 2017 AdwCleanerS2.txtЭто повторный лог сканирования. Лог очистки содержит символ [C] в имени файла. Что с проблемой?
Maxi_bon Опубликовано 1 марта, 2017 Автор Опубликовано 1 марта, 2017 AdwCleanerS2.txtЭто повторный лог сканирования. Лог очистки содержит символ [C] в имени файла. Что с проблемой? Прошу прощения, приложил корректный файл. Проблема сохраняется. AdwCleanerC0.txt
Sandor Опубликовано 2 марта, 2017 Опубликовано 2 марта, 2017 В каком браузере? Проверьте в IE и сообщите результат.
Maxi_bon Опубликовано 2 марта, 2017 Автор Опубликовано 2 марта, 2017 (изменено) В каком браузере? Проверьте в IE и сообщите результат. В хроме есть, а в IE нету. UPD: Обнаружил проблему в расширении для Chrome - "ГдеПосылка". Правильно ли я понимаю, что вирус просто заменил собой расширение, которое у меня было? Изменено 2 марта, 2017 пользователем Maxi_bon
Sandor Опубликовано 3 марта, 2017 Опубликовано 3 марта, 2017 Именно так. Удалите его и, если нужно, установите заново из магазина. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Maxi_bon Опубликовано 3 марта, 2017 Автор Опубликовано 3 марта, 2017 Отчет во вложении SecurityCheck.txt
Sandor Опубликовано 4 марта, 2017 Опубликовано 4 марта, 2017 ------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления ^Необязательное обновление.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти