zxc17 0 Опубликовано 5 мая, 2017 Share Опубликовано 5 мая, 2017 Пытался установить утилиту для восстановления данных с флешки, нарвался на подставу. Симптомы следующие: - Периодически самопроизвольно открываются окна браузера с различными сайтами. - Internet Explorer сообщает о попытке внешней программы изменить настройки. ESET NOD32, DRWEB ничего не находят. Kaspersky Virus Removal Tool - ошибка инициализации сервисов. CollectionLog-2017.05.05-20.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 мая, 2017 Share Опубликовано 5 мая, 2017 Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\WINDOWS\system32\tasks\news1freeorgvcomsm', ''); QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MA4JKIOP\Msvbvm50.exe', ''); DeleteFile('C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MA4JKIOP\Msvbvm50.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "news1freeorgvcomsm" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{A6AD38C1-311C-489D-850A-EF3B5DAC2A37}" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Программы/расширения от Mail.ru используете? Цитата Ссылка на сообщение Поделиться на другие сайты
zxc17 0 Опубликовано 5 мая, 2017 Автор Share Опубликовано 5 мая, 2017 Ссылка на результаты анализа:http://virusinfo.info/virusdetector/report.php?md5=DC395C783F28BF369246621959D47E59 ClearLNK-05.05.2017_21-43.log - во вложении. quarantine.zip - KLAN-6198477055. Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:news1freeorgvcomsm - HEUR:Trojan.Multi.StartPageTask.bФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Программ от MAIL.RU не использую, ссылки на них появились после запуска фальшивого инсталлятора. Фразу "Повторите логи по правилам" не понял. Я что-то сделал неверно, или надо повторить формирование логов, которые я отправил в первом сообщении? На всякий случай повторные логи после выполнения скрипта прилагаю. CollectionLog-2017.05.05-21.57.zip ClearLNK-05.05.2017_21-43.log CollectionLog-2017.05.05-21.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 мая, 2017 Share Опубликовано 5 мая, 2017 1) Кнопка "Яндекс" на панели задач [2016/12/04 14:39:49]-->C:\Users\user\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned Яндекс.Бар 6.0 для Internet Explorer [20120824]-->MsiExec.exe /X{35015585-072D-4D95-9509-E6205C6F7991}Если не используете, то советую деинсталировать.2)O22 - Task (Ready): Эфир - C:\Program Files\Mist\Mist.exe --node-datadir="C:\Users\user\AppData\Roaming\Ethereum"Это задание и файлы/папки вам знакомы? 3) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. UPD. Это задание и файлы/папки вам знакомы? Это похоже от программы Ethereum Mist . Цитата Ссылка на сообщение Поделиться на другие сайты
zxc17 0 Опубликовано 5 мая, 2017 Автор Share Опубликовано 5 мая, 2017 (изменено) 1) Яндекс использую, кнопку на панель задач вывел я. 2) Да, это мое задание. 3) "C:\AdwCleaner\AdwCleaner[s0].txt" прикрепил. А почему советуете удалить Яндекс? Браузер считается ненадежным? AdwCleanerS0.txt Изменено 5 мая, 2017 пользователем zxc17 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 мая, 2017 Share Опубликовано 5 мая, 2017 1) А почему советуете удалить Яндекс? Браузер считается ненадежным? Про браузер я ничего не писал, я написал только про дополнительные приблуды которые обычно ставятся довеском и чаще всего из-за невнимательности (забыли/не заметили галочки при установке софта). 2) А вот RegCure Pro - это потенциально нежелательная программа, деинсталийте её. Затем 3) Запустите повторно AdwCleaner (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") По окончанию сканирования снимите галочки со следующих строк:Найден файл: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
zxc17 0 Опубликовано 5 мая, 2017 Автор Share Опубликовано 5 мая, 2017 RegCure Pro - удалил. Очистку провел. Отчет прилагается. AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 мая, 2017 Share Опубликовано 5 мая, 2017 Что с проблемой? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zxc17 0 Опубликовано 6 мая, 2017 Автор Share Опубликовано 6 мая, 2017 Что с проблемой? Симптомы уже исчезли после выполнения скрипта в первом ответе. Большое спасибо!!! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 мая, 2017 Share Опубликовано 6 мая, 2017 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.