Animaxion Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 Добрый день, такая же проблема как и у многих CollectionLog-2017.05.13-13.44.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('C:\ProgramData\zkvzalgis800', '*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\zkvzalgis800', '*', true); DeleteDirectory('C:\ProgramData\zkvzalgis800'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Программы/расширения от Mail.ru используете? Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 (изменено) https://virusinfo.info/virusdetector/report.php?md5=A1B94E4100CB54A2AA53070C4D682E46 Стоит игровой центр от мэйл и поиск на эксплорере Новые логи KLAN-6233845027 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:00000000.eky00000000.pky00000000.res@Please_Read_Me@.txt@WanaDecryptor@.exe.lnkc.wnryf.wnryr.wnrys.wnry/avz00010.dta.Tor.libeay32.dlls.wnry/avz00010.dta.Tor.libevent-2-0-5.dlls.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dlls.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dlls.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dlls.wnry/avz00010.dta.Tor.libssp-0.dlls.wnry/avz00010.dta.Tor.ssleay32.dlls.wnry/avz00010.dta.Tor.tor.exes.wnry/avz00010.dta.Tor.zlib1.dllt.wnrym_bulgarian.wnrym_chinese (simplified).wnrym_chinese (traditional).wnrym_croatian.wnrym_czech.wnrym_danish.wnrym_dutch.wnrym_english.wnrym_filipino.wnrym_finnish.wnrym_french.wnrym_german.wnrym_greek.wnrym_indonesian.wnrym_italian.wnrym_japanese.wnrym_korean.wnrym_latvian.wnrym_norwegian.wnrym_polish.wnrym_portuguese.wnrym_romanian.wnrym_russian.wnrym_slovak.wnrym_spanish.wnrym_swedish.wnrym_turkish.wnrym_vietnamese.wnrylibeay32.dlllibevent_core-2-0-5.dlllibevent_extra-2-0-5.dllssleay32.dlltaskhsvc.exetor.exeПеречисленные файлы имеют безопасный формат и не могут быть вредоносными:b.wnryФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. AdwCleanerS0.txt CollectionLog-2017.05.13-16.05.zip Изменено 13 мая, 2017 пользователем Animaxion Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 Стоит игровой центр от мэйл и поиск на эксплорере стоит это одно, а используется или можно удалять?1) Игровой центр - деинсталируйте. Если нужен, то после окончания лечения поставьте заново. 2) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 3) Свежий архив CollectionLog сделайте и прикрепите. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 Центр от мэйл снес, новые логи AdwCleanerC0.txt CollectionLog-2017.05.13-17.40.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 1) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Павел\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\Павел\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); DeleteFile('C:\Users\Павел\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\Павел\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{485346E6-1024-41D8-A0CD-4CA331E36AE9}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{76A32D2F-D274-4D1D-9B7C-5E3539B3A29E}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{4AEA447C-98A5-44D0-9CA5-635AD6037838}" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 2) Удалите остатки Аваста по инструкции Чистка системы после некорректного удаления антивируса. 3) Поставьте обновление KB4019263 И в будущем не забывайте своевременно обновляться. 4) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 Добрый вечер! KLAN-6234447084 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:Вoйти в Интeрнeт.lnkВoйти в Интeрнeт_0.lnkФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:Вoйти в Интeрнeт.lnkВoйти в Интeрнeт_0.lnkФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ ПАВЕЛ-ПК_2017-05-13_19-04-03.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 IPSEC политику сами настраивали? + Скачайте uVS заново (он обновился) и переделайте лог. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 IPSEC политику настраивал не сам ПАВЕЛ-ПК_2017-05-13_20-48-08.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 1) Удалите остатки аваст по инструкции Чистка системы после некорректного удаления антивируса 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG regt 25 ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\USERS\7636~1\APPDATA\LOCAL\TEMP\EPI6D92.TMP delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI delref HTTP://JS.MYKINGS.TOP:280/V.SCT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\NG\VBOX\AVASTVBOXSVC.EXE delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\NG\VBOX\VBOXC.DLL delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\SZBROWSER\LAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. 3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 прикрепляю отчеты Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File 2017-05-12 22:21 - 2017-05-13 17:35 - 00000060 _____ C:\Windows\system32\s 2017-05-12 22:16 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Павел\Desktop\@WanaDecryptor@.bmp 2017-05-12 22:14 - 2017-05-12 22:14 - 00000005 _____ C:\Windows\system32\1.txt 2017-05-12 21:02 - 2017-05-12 21:02 - 00000933 _____ C:\Users\Павел\Desktop\@Please_Read_Me@.txt Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden Google Update Helper (x32 Version: 1.3.33.5 - Google Inc.) Hidden Task: {49BE6AE0-1706-4203-93D9-6A0B0A2BB0F0} - \SafeZone scheduled Autoupdate 1468305763 -> No File <==== ATTENTION Task: {603BE81A-9064-4F53-8432-D4F00E670AE5} - \Avast Emergency Update -> No File <==== ATTENTION Task: {BAF3D73B-C57C-48E6-9603-9E6EF1C8B71C} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве.[/code] Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 Фикс лог Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 мая, 2017 Share Опубликовано 13 мая, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Больше помочь нечем, рассшифровки пока нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Animaxion Опубликовано 13 мая, 2017 Автор Share Опубликовано 13 мая, 2017 Огромное Вам спасибо! Есть ли вероятность расшифровки утраченных файлов в ближайшее время или не стоит ждать? Как Вас можно отблагодарить за оказанную помощь? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти