Перейти к содержанию

mail.ru ok.ru итд


Рекомендуемые сообщения

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Деинсталируйте

aswast [2017/03/31 18:18:54]-->C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
 TerminateProcessByName('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe');
 StopService('CppWindowsService');
 QuarantineFileF('c:\program files (x86)\filter2\2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '');
 QuarantineFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Users\90C5~1\AppData\Roaming\aswast\python\pythonw.exe', '');
 QuarantineFile('C:\Users\90C5~1\AppData\Roaming\aswast\ml.py', '');
 DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe', '32');
 DeleteFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteFile('C:\Users\90C5~1\AppData\Roaming\aswast\python\pythonw.exe', '32');
 DeleteFile('C:\Users\90C5~1\AppData\Roaming\aswast\ml.py', '32');
 QuarantineFile('C:\Users\ПК\Desktop\Вoйти в Интeрнет.lnk', '');
 DeleteFile('C:\Users\ПК\Desktop\Вoйти в Интeрнет.lnk');
 DeleteService('CppWindowsService');
 DeleteService('netfilter2');
 DeleteFileMask('c:\program files (x86)\filter2\2', '*', true);
 DeleteDirectory('c:\program files (x86)\filter2\2');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'plteonqvam');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Ссылка на сообщение
Поделиться на другие сайты
1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

https://virusinfo.info/virusdetector/report.php?md5=88BFB60B9A3BF3A07CAF0451D55090D4

2) Деинсталируйте

 

При запуске uninstal.exe пишет, что не является приложением win32, если через удаление программ, то пишет, что произошла ошибка и программа возможно была удалена ранее, через ccleaner выдает Error: 193-

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

[KLAN-6048726466]

 

The files have been scanned in automatic mode.

 

Riskware which may harm your computer was detected in the following files:

CppWindowsService.exe - not-a-virus:RiskTool.Win32.Agent.andj

PFHttpContentFilter.exe - not-a-virus:RiskTool.Win32.Agent.andk

ProtocolFilters.dll - not-a-virus:NetTool.Win32.Netfilter.oy

 

No information about the specified files can be found in the antivirus databases:

driver_installer.exe

nss3.dll

softokn3.dll

 

Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:

nfapi.dll - UDS:DangerousObject.Multi.Generic

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

CollectionLog-2017.04.01-02.58.zip

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

AdwCleanerS0.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\ПК\appdata\local\filterstart\filterstart.exe');
 StopService('ServiceMgr');
 QuarantineFileF('c:\users\ПК\appdata\local\filterstart\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\ServiceMgr.sys', '');
 QuarantineFileF('C:\Users\ПК\AppData\Local\ifgker\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\ScreenUp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\ПК\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('c:\users\ПК\appdata\local\filterstart\filterstart.exe', '');
 DeleteFile('C:\Windows\ServiceMgr.sys');
 DeleteFile('c:\users\ПК\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\Users\ПК\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Command Base Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ifgker" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Line Translator Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 DeleteFileMask('c:\users\ПК\appdata\local\filterstart\', '*', true);
 DeleteFileMask('C:\Users\ПК\AppData\Local\ifgker\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\ScreenUp', '*', true);
 DeleteDirectory('c:\users\ПК\appdata\local\filterstart\');
 DeleteDirectory('C:\Users\ПК\AppData\Local\ifgker\');
 DeleteDirectory('C:\Program Files (x86)\ScreenUp');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DeleteService('ServiceMgr');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6049056597

 

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

ServiceMgr.sys

nfapi.dll

ProtocolFilters.dll

ScreenUp.exe

u.exe

uninst.exe

nss3.dll

softokn3.dll

 

Adware application designed to display ads was detected in the following files:

future_helper.exe - not-a-virus:AdWare.Win32.Agent.kczg

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

 

  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

AdwCleanerC0.txt

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

CollectionLog-2017.04.01-14.38.zip

Изменено пользователем ak00z
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\ПК\appdata\local\filterstart\filterstart.exe');
 QuarantineFile('C:\Users\ПК\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFileF('c:\users\ПК\appdata\local\filterstart\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ПК\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL');
 DeleteFile('C:\Users\ПК\Favorites\OVGorskiy.ru.url');
 ExecuteFile('schtasks.exe', '/delete /TN "Render Language Helper" /F', 0, 15000, true);
 DeleteFileMask('c:\users\ПК\appdata\local\filterstart\', '*', true);
 DeleteDirectory('c:\users\ПК\appdata\local\filterstart\');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Ссылка на сообщение
Поделиться на другие сайты
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6049441260

The files have been scanned in automatic mode.

 

Adware application designed to display ads was detected in the following files:

FilterStart.exe - not-a-virus:AdWare.Win32.Agent.kczh

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

 

После окончания сканирования будут созданы отчеты FRST.txtAddition.txtShortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Addition.txtFRST.txtShortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-4209053960-395106817-3772802803-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\ПК\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64\FileSyncShell64.dll => No File
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

Ссылка на сообщение
Поделиться на другие сайты

 

 

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

ПК-ПК_2017-04-01_17-29-47.7z

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0b3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    uidel C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe
    dirzooex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER
    deldir %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER
    delall %SystemRoot%\SERVICEMGR.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
    delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6390.0509_1\FILESYNCSHELL.DLL
    delref %SystemDrive%\USERS\90C5~1\APPDATA\LOCAL\TEMP\HYD375D.TMP.1488387243\HTA\3RDPARTY\FS.OCX
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref HTTP://OVGORSKIY.RU
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
    zoo %SystemDrive%\PROGRAM FILES (X86)\POKERSTRATEGY.COM\POKERSTRATEGY.COM EQUILAB\EQUILAB.EXE
    zoo %SystemRoot%\SERVICEMGR.SYS
    bl 34683E9A7B032B84EB9EBD1E7539AB5E 48368
    apply
    czoo
    restart
    
     
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте по адресу newvirus@kaspersky.com

    Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Подробнее читайте в этом руководстве.
Сделайте свежий образ автозапуска.
Ссылка на сообщение
Поделиться на другие сайты

 

 

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0b3 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v400c

BREG

uidel C:\Users\ПК\AppData\Roaming\aswast\uninstall.exe

dirzooex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER

deldir %SystemDrive%\USERS\ПК\APPDATA\LOCAL\IFGKER

delall %SystemRoot%\SERVICEMGR.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE

delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6390.0509_1\FILESYNCSHELL.DLL

delref %SystemDrive%\USERS\90C5~1\APPDATA\LOCAL\TEMP\HYD375D.TMP.1488387243\HTA\3RDPARTY\FS.OCX

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL

delref HTTP://OVGORSKIY.RU

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE

zoo %SystemDrive%\PROGRAM FILES (X86)\POKERSTRATEGY.COM\POKERSTRATEGY.COM EQUILAB\EQUILAB.EXE

zoo %SystemRoot%\SERVICEMGR.SYS

bl 34683E9A7B032B84EB9EBD1E7539AB5E 48368

apply

czoo

restart

 

Выдает сообщение после нажатия кнопки выполнить: Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено!

Ссылка на сообщение
Поделиться на другие сайты

создавал файл вручную и скачивал тот, который вы прислали. все равно выдает ту же ошибку

Изменено пользователем ak00z
Ссылка на сообщение
Поделиться на другие сайты

В скрипте ошибок нет. Ошибка появляется в следствие некорректного копирования с форума (похоже вина форума). Только что перепроверил если скачивать по моей ссылке, то ошибку в скрипте не выдаёт. Так что вы видно по ошибке пытаетесь выполнить скрипт из того файла, что создали сами.

1) Удалите файлы скриптов.

2) Скачайте скрипт по этой ссылке (не пытайтесь сделать файл сами).

3) Выполните скрипт из файла.

Ссылка на сообщение
Поделиться на другие сайты

Скрипт удалось выполнить только убрав эти строчки. Иначе выдавал ошибку  

;Target OS: NTv6.1

v400c
BREG

 

 

Изменено пользователем regist
карантин надо отправить на по адресу newvirus@kaspersky.com а не прикреплять к сообщению
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...