Каспер ругается на необработаный объект - удалить не может.

[Talanius]

На служебную почту прилетел файлик экселя, с макросами. Нажал кнопку включить макросы  и каспер стал орать, что обнаружено вредоносное ПО, и блокировать процессы.

Тем не менее, в центре уведомлений теперь висит необработанный объект - якобы легальное ПО, которое якобы может причинить вред. При нажатии на кнопку "устранить", ничего не происходит. KVRT как и AVZ, ничего не нашли.

Если просто проверять каспером экселевский файлик, с которого все началось - ничего не обнаруживает(могу приложить файлик, если надо).

Как избавиться от гадости?

 

CollectionLog-2017.02.28-23.18.zip

[Sandor]

Здравствуйте!

 

Восстановите системные файлы с помощью этой утилиты. Отчет прикрепите.

[Talanius]

Добрый день.

Диска с дистрибутивом под рукой нет(в машине лежит), завтра могу попробовать запустить утилиту с ним.

Отчет во вложении.

 

sfcdoc.log

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Talanius]

Результаты сканирования.

З.Ы. кстати еще сегодня днем делал полное сканирование каспером - результат нулевой, а вечером включил комп, каспер вероятно обновил базы и сам нашел в экселевском файлике, с которого все началось, вирус и удалил его. Но необработанный объект в памяти висит по прежнему.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
FF user.js: detected! => C:\Users\Maks\AppData\Roaming\Mozilla\Firefox\Profiles\mbz6elw8.default\user.js [2014-07-06]
FF Extension: (SHA-1 deprecation staged rollout) - C:\Users\Maks\AppData\Roaming\Mozilla\Firefox\Profiles\mbz6elw8.default\features\{694685e0-137d-4f2f-b0ce-f3034c3b45df}\disableSHA1rollout@mozilla.org.xpi [2017-02-25]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

необработанный объект в памяти висит по прежнему.

Попробуйте очистить журналы и хранилища антивируса.

[Talanius]

Журналы отчистил - каспер больше не ругается и ничего не находит.

1. Означает ли это что система все-таки не была инфицирована?

2. Правильно ли я понимаю, что если я выполню предложенный Вами скрипт, будет грохнут профиль фаерфокса?

[Sandor]

Нет, не правильно

 

Будет глубокая очистка временных файлов и возможно пропадут сохраненные в браузере формы и пароли.

Если боитесь этого, уберите из скрипта строку

EmptyTemp:

и выполните фикс.

[Talanius]

Убирать строку не стал.

Fixlog.txt

[Sandor]

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Talanius]

отчет

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17959 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

Дата установки обновлений: 2016-05-13 06:21:58

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

LibreOffice 5.0.0.5 v.5.0.0.5 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

BitSpirit v3.6.0.550 Stable Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Talanius]

А что по "зверушкам" на компе - все чисто?

[Sandor]

Иначе я бы Вас не отпускал

[Talanius]

Спасибо!