Arts-Museum 0 Опубликовано 22 марта, 2017 Share Опубликовано 22 марта, 2017 Добрый день, антивирус KES 10 периодически выдает сообщение, что троянская программа kido пытается получить доступ к системе, антивирус предлагает лечить с перезагрузкой, но это не помогает, kidokiller также не дала результата. Прошу помощи в удалении. CollectionLog-2017.03.22-15.48.zip Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 марта, 2017 Share Опубликовано 22 марта, 2017 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\bib.GMII\AppData\Roaming\LoadLeader\Updater.exe', ''); DeleteFile('C:\Windows\Tasks\At1.job', '32'); DeleteFile('C:\Windows\Tasks\At10.job', '32'); DeleteFile('C:\Windows\Tasks\At11.job', '32'); DeleteFile('C:\Windows\Tasks\At12.job', '32'); DeleteFile('C:\Windows\Tasks\At13.job', '32'); DeleteFile('C:\Windows\Tasks\At14.job', '32'); DeleteFile('C:\Windows\Tasks\At15.job', '32'); DeleteFile('C:\Windows\Tasks\At16.job', '32'); DeleteFile('C:\Windows\Tasks\At18.job', '32'); DeleteFile('C:\Windows\Tasks\At19.job', '32'); DeleteFile('C:\Windows\Tasks\At2.job', '32'); DeleteFile('C:\Windows\Tasks\At20.job', '32'); DeleteFile('C:\Windows\Tasks\At22.job', '32'); DeleteFile('C:\Windows\Tasks\At23.job', '32'); DeleteFile('C:\Windows\Tasks\At24.job', '32'); DeleteFile('C:\Windows\Tasks\At25.job', '32'); DeleteFile('C:\Windows\Tasks\At26.job', '32'); DeleteFile('C:\Windows\Tasks\At27.job', '32'); DeleteFile('C:\Windows\Tasks\At28.job', '32'); DeleteFile('C:\Windows\Tasks\At29.job', '32'); DeleteFile('C:\Windows\Tasks\At3.job', '32'); DeleteFile('C:\Windows\Tasks\At30.job', '32'); DeleteFile('C:\Windows\Tasks\At31.job', '32'); DeleteFile('C:\Windows\Tasks\At32.job', '32'); DeleteFile('C:\Windows\Tasks\At33.job', '32'); DeleteFile('C:\Windows\Tasks\At34.job', '32'); DeleteFile('C:\Windows\Tasks\At35.job', '32'); DeleteFile('C:\Windows\Tasks\At36.job', '32'); DeleteFile('C:\Windows\Tasks\At38.job', '32'); DeleteFile('C:\Windows\Tasks\At39.job', '32'); DeleteFile('C:\Windows\Tasks\At4.job', '32'); DeleteFile('C:\Windows\Tasks\At40.job', '32'); DeleteFile('C:\Windows\Tasks\At41.job', '32'); DeleteFile('C:\Windows\Tasks\At42.job', '32'); DeleteFile('C:\Windows\Tasks\At43.job', '32'); DeleteFile('C:\Windows\Tasks\At44.job', '32'); DeleteFile('C:\Windows\Tasks\At5.job', '32'); DeleteFile('C:\Windows\Tasks\At6.job', '32'); DeleteFile('C:\Windows\Tasks\At7.job', '32'); DeleteFile('C:\Windows\Tasks\At8.job', '32'); DeleteFile('C:\Windows\Tasks\At9.job', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (bib)" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_bib" /F', 0, 15000, true); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Loadleader - эта программа вам знакома? + этот компьютер в сетке находится? Изменено 22 марта, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Arts-Museum 0 Опубликовано 23 марта, 2017 Автор Share Опубликовано 23 марта, 2017 Да, компьютер в локальной сети, Loadleader удалил. KLAN-5998733480 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: Updater.exe Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2017.03.23-10.55.zip Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 марта, 2017 Share Опубликовано 23 марта, 2017 1) Поставьте пароль на этот компьютер. 2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: Task: {1263778B-41A8-46DF-A638-2DEAFCDF46EF} - System32\Tasks\At1 => Rundll32.exe qfnqgo.qiw,hlbrfp <==== ATTENTION SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1202660629-1085031214-682003330-1168 -> {5116ABB1-AA25-464F-904E-3CE02D16797D} URL = CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1202660629-1085031214-682003330-1168\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx OPR StartupUrls: "hxxp://mail.ru/cnt/10445" HKU\S-1-5-21-1202660629-1085031214-682003330-1168\...\Run: [LoadLeader] => C:\Users\bib.GMII\AppData\Roaming\LoadLeader\Updater.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 3) Групповые политики как понимаю настраивали сами? Unlimited Free VPN - Hola - советую удалить это расширение. Стартовая — Яндек - если сами не ставили, тоже. 4) Да, компьютер в локальной сетиИщите в ней заражённый компьютер, с которого лезет зараза на этот. 5) Loadleader удалил.А ставили его сами или понятия не имеете откуда он взялся? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.