mail.ru ok.ru итд

[ak00z]

Скачал файл, который засорил пк. cureit после проверки устранил некоторые угрозы, однако проблема не решилась.CollectionLog-2017.03.31-20.21.zip

[regist]

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Деинсталируйте

aswast [2017/03/31 18:18:54]-->C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
 TerminateProcessByName('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe');
 StopService('CppWindowsService');
 QuarantineFileF('c:\program files (x86)\filter2\2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '');
 QuarantineFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Users\90C5~1\AppData\Roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\90C5~1\AppData\Roaming\aswast\ml.py', '');
 DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '32');
 DeleteFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteFile('C:\Users\90C5~1\AppData\Roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\90C5~1\AppData\Roaming\aswast\ml.py', '32');
 QuarantineFile('C:\Users\ПК\Desktop\Вoйти в Интeрнет.lnk', '');
 DeleteFile('C:\Users\ПК\Desktop\Вoйти в Интeрнет.lnk');
 DeleteService('CppWindowsService');
 DeleteService('netfilter2');
 DeleteFileMask('c:\program files (x86)\filter2\2', '*', true);
 DeleteDirectory('c:\program files (x86)\filter2\2');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'plteonqvam');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[ak00z]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

https://virusinfo.info/virusdetector/report.php?md5=88BFB60B9A3BF3A07CAF0451D55090D4

2) Деинсталируйте

 

При запуске uninstal.exe пишет, что не является приложением win32, если через удаление программ, то пишет, что произошла ошибка и программа возможно была удалена ранее, через ccleaner выдает Error: 193-

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

[KLAN-6048726466]

 

The files have been scanned in automatic mode.

 

Riskware which may harm your computer was detected in the following files:

CppWindowsService.exe - not-a-virus:RiskTool.Win32.Agent.andj

PFHttpContentFilter.exe - not-a-virus:RiskTool.Win32.Agent.andk

ProtocolFilters.dll - not-a-virus:NetTool.Win32.Netfilter.oy

 

No information about the specified files can be found in the antivirus databases:

driver_installer.exe

nss3.dll

softokn3.dll

 

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:

nfapi.dll - UDS:DangerousObject.Multi.Generic

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

CollectionLog-2017.04.01-02.58.zip

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

AdwCleanerS0.txt

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\ПК\appdata\local\filterstart\filterstart.exe');
 StopService('ServiceMgr');
 QuarantineFileF('c:\users\ПК\appdata\local\filterstart\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\ServiceMgr.sys', '');
 QuarantineFileF('C:\Users\ПК\AppData\Local\ifgker\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\ScreenUp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\ПК\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('c:\users\ПК\appdata\local\filterstart\filterstart.exe', '');
 DeleteFile('C:\Windows\ServiceMgr.sys');
 DeleteFile('c:\users\ПК\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\Users\ПК\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Command Base Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ifgker" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Line Translator Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 DeleteFileMask('c:\users\ПК\appdata\local\filterstart\', '*', true);
 DeleteFileMask('C:\Users\ПК\AppData\Local\ifgker\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\ScreenUp', '*', true);
 DeleteDirectory('c:\users\ПК\appdata\local\filterstart\');
 DeleteDirectory('C:\Users\ПК\AppData\Local\ifgker\');
 DeleteDirectory('C:\Program Files (x86)\ScreenUp');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DeleteService('ServiceMgr');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено 1 апреля, 2017 пользователем regist

[ak00z]

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6049056597

 

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

ServiceMgr.sys

nfapi.dll

ProtocolFilters.dll

ScreenUp.exe

u.exe

uninst.exe

nss3.dll

softokn3.dll

 

Adware application designed to display ads was detected in the following files:

future_helper.exe - not-a-virus:AdWare.Win32.Agent.kczg

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

AdwCleanerC0.txt

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

CollectionLog-2017.04.01-14.38.zip

Изменено 1 апреля, 2017 пользователем ak00z

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\ПК\appdata\local\filterstart\filterstart.exe');
 QuarantineFile('C:\Users\ПК\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFileF('c:\users\ПК\appdata\local\filterstart\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ПК\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL');
 DeleteFile('C:\Users\ПК\Favorites\OVGorskiy.ru.url');
 ExecuteFile('schtasks.exe', '/delete /TN "Render Language Helper" /F', 0, 15000, true);
 DeleteFileMask('c:\users\ПК\appdata\local\filterstart\', '*', true);
 DeleteDirectory('c:\users\ПК\appdata\local\filterstart\');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ak00z]

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6049441260

The files have been scanned in automatic mode.

 

Adware application designed to display ads was detected in the following files:

FilterStart.exe - not-a-virus:AdWare.Win32.Agent.kczh

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Addition.txtFRST.txtShortcut.txt

[regist]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[ak00z]

 

 

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

ПК-ПК_2017-04-01_17-29-47.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0b3 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  uidel C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe
  dirzooex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER
  deldir %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER
  delall %SystemRoot%\SERVICEMGR.SYS
  delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
  delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6390.0509_1\FILESYNCSHELL.DLL
  delref %SystemDrive%\USERS\90C5~1\APPDATA\LOCAL\TEMP\HYD375D.TMP.1488387243\HTA\3RDPARTY\FS.OCX
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref HTTP://OVGORSKIY.RU
  delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
  zoo %SystemDrive%\PROGRAM FILES (X86)\POKERSTRATEGY.COM\POKERSTRATEGY.COM EQUILAB\EQUILAB.EXE
  zoo %SystemRoot%\SERVICEMGR.SYS
  bl 34683E9A7B032B84EB9EBD1E7539AB5E 48368
  apply
  czoo
  restart
  
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте по адресу newvirus@kaspersky.com

  Полученный ответ сообщите здесь (с указанием номера KLAN)

• Подробнее читайте в этом руководстве.

Сделайте свежий образ автозапуска.

[ak00z]

 

 

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0b3 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v400c

BREG

uidel C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe

dirzooex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER

deldir %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER

delall %SystemRoot%\SERVICEMGR.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE

delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6390.0509_1\FILESYNCSHELL.DLL

delref %SystemDrive%\USERS\90C5~1\APPDATA\LOCAL\TEMP\HYD375D.TMP.1488387243\HTA\3RDPARTY\FS.OCX

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL

delref HTTP://OVGORSKIY.RU

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE

zoo %SystemDrive%\PROGRAM FILES (X86)\POKERSTRATEGY.COM\POKERSTRATEGY.COM EQUILAB\EQUILAB.EXE

zoo %SystemRoot%\SERVICEMGR.SYS

bl 34683E9A7B032B84EB9EBD1E7539AB5E 48368

apply

czoo

restart

 

Выдает сообщение после нажатия кнопки выполнить: Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!

[regist]

Скачайте этот файл и попробуйте выполнить скрипт из файла.

[ak00z]

создавал файл вручную и скачивал тот, который вы прислали. все равно выдает ту же ошибку

Изменено 1 апреля, 2017 пользователем ak00z

[regist]

В скрипте ошибок нет. Ошибка появляется в следствие некорректного копирования с форума (похоже вина форума). Только что перепроверил если скачивать по моей ссылке, то ошибку в скрипте не выдаёт. Так что вы видно по ошибке пытаетесь выполнить скрипт из того файла, что создали сами.

1) Удалите файлы скриптов.

2) Скачайте скрипт по этой ссылке (не пытайтесь сделать файл сами).

3) Выполните скрипт из файла.

[ak00z]

Скрипт удалось выполнить только убрав эти строчки. Иначе выдавал ошибку  

;Target OS: NTv6.1

v400c
BREG

 

 

Изменено 2 апреля, 2017 пользователем regist
карантин надо отправить на по адресу newvirus@kaspersky.com а не прикреплять к сообщению