Marina369369 0 Опубликовано 23 апреля, 2017 Share Опубликовано 23 апреля, 2017 (изменено) Добрый вечер! подхватила вирус - вместо поисковой машины гугла прописалась search engine mail ru. постоянно открываются всплывающие окна с рекламой. CollectionLog-2017.04.24-00.24.zip Изменено 23 апреля, 2017 пользователем Marina369369 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 апреля, 2017 Share Опубликовано 23 апреля, 2017 но не справилась с autologger - пишет, что я его не распаковала. но я же распаковала. что я делаю не так? В какую папку вы его распаковали? Напишите полный путь к ней.+ попробуйте перенести его на рабочий стол и запустить оттуда. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 23 апреля, 2017 Автор Share Опубликовано 23 апреля, 2017 но не справилась с autologger - пишет, что я его не распаковала. но я же распаковала. что я делаю не так?В какую папку вы его распаковали? Напишите полный путь к ней.+ попробуйте перенести его на рабочий стол и запустить оттуда помогла множественная перезагрузка. отредактировала изначальное сообщение Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 апреля, 2017 Share Опубликовано 24 апреля, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\ihctrl32.dll', ''); QuarantineFile('C:\Windows\System32\wsaudio.dll', ''); QuarantineFile('C:\Users\User\Favorites\Links\Интернет.url', ''); DeleteFile('C:\Windows\System32\ihctrl32.dll', '32'); DeleteFile('C:\Users\User\Favorites\Links\Интернет.url'); DeleteFile('C:\Windows\System32\wsaudio.dll', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jearojygbb'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 24 апреля, 2017 Автор Share Опубликовано 24 апреля, 2017 (изменено) [KLAN-6148130830] Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:quarantine.zipWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it. какие мои дальнейшие действия? CollectionLog-2017.04.24-13.43.zip Изменено 24 апреля, 2017 пользователем Marina369369 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 апреля, 2017 Share Опубликовано 24 апреля, 2017 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\ihctrl32.dll', ''); QuarantineFile('C:\Windows\System32\wsaudio.dll', ''); QuarantineFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll', ''); QuarantineFile('C:\Users\User\AppData\Local\SearchGo\searchgo.exe', ''); QuarantineFile('C:\Users\User\Favorites\Links\Интернет.url', ''); DeleteFile('C:\Windows\System32\ihctrl32.dll', '32'); DeleteFile('C:\Windows\System32\wsaudio.dll', '32'); DeleteFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll', '32'); DeleteFile('C:\Users\User\AppData\Local\SearchGo\searchgo.exe', '32'); DeleteFile('C:\Users\User\Favorites\Links\Интернет.url'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}'); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jearojygbb'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Программы/расширения от Mail.ru используете? Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 24 апреля, 2017 Автор Share Опубликовано 24 апреля, 2017 (изменено) [KLAN-6150874338] Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:quarantine.zipWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ ____ программы от mail.ru по своей воле не использую, но посторонние вкладки запускаются самостоятельно CollectionLog-2017.04.24-23.05.zip Изменено 24 апреля, 2017 пользователем Marina369369 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 апреля, 2017 Share Опубликовано 24 апреля, 2017 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. жду. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 24 апреля, 2017 Автор Share Опубликовано 24 апреля, 2017 добавила Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Вы AVZ от имени администратора при выполнение скрипта запускаете? Антивирус отключате перед этим? По логам такое впечатление, что вы скрипт вообще не выполняли. Выполните его ещё раз. + Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 (изменено) поняла свою ошибку - запускала скрипт не под администратором (в инструкции об этом не указано. это рекомендовано только для утилиты HIJack, которая у меня запускалась автоматически). проделала все рекомендации с учетом недочета. логи ниже. ответ на имейл ([KLAN-6154926652]): Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.Malicious code has been detected in the following files:ihctrl32.dll - Trojan-Downloader.Win32.Stantinko.bctNo information about the specified files can be found in the antivirus databases:wsaudio.dllИнтернет.urlAdware application designed to display ads was detected in the following files:searchgo.dll - not-a-virus:AdWare.Win32.Agent.kcwnsearchgo.exe - not-a-virus:AdWare.Win32.Searchgo.aWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ Еще вопрос: после диагностики AdwCleaner нужно ли удалять найденные угрозы? CollectionLog-2017.04.25-10.19.zip AdwCleanerS0.txt Изменено 25 апреля, 2017 пользователем Marina369369 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 1) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2) Сделайте свежие логи Автологером. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 прикрепила AdwCleanerC0.txt CollectionLog-2017.04.25-12.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 апреля, 2017 Share Опубликовано 25 апреля, 2017 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\User\AppData\Local\wupdate\wupdate.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\nvfontcache\nvfontcache.exe', ''); DeleteFile('C:\Users\User\AppData\Local\nvfontcache\nvfontcache.exe', '32'); DeleteFile('C:\Users\User\AppData\Local\wupdate\wupdate.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "nvfontcache" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ualbbxfudv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Marina369369 0 Опубликовано 25 апреля, 2017 Автор Share Опубликовано 25 апреля, 2017 [KLAN-6155664789] Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:wupdate.exeAdware application designed to display ads was detected in the following files:nvfontcache.exe - not-a-virus:HEUR:AdWare.Win32.DLD.LMN.genWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ CollectionLog-2017.04.25-12.37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.