v431 Опубликовано 19 мая, 2017 Опубликовано 19 мая, 2017 Здравствуйте! Удаленно лечу ПК родственников после заражения. Trial-версия KIS провела лечение, но у меня все еще есть сомнения, т.к.: Internet Explorer открывается и тут же закрывается а также проблемы с установкой обновлений. Обращаюсь за помощью, архив AutoLogger'а прилагаю. CollectionLog-2017.05.19-10.41.zip
regist Опубликовано 19 мая, 2017 Опубликовано 19 мая, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\макс\Favorites\Links\Интернет.url', ''); QuarantineFile('C:\Users\макс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', ''); QuarantineFile('C:\Users\макс\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('c:\users\макс\appdata\local\yandex\yandexbrowser\application\browser.bat', ''); QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\python\pythonw.exe', ''); QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\ml.py', ''); QuarantineFile('C:\Users\EF4F~1\AppData\Roaming\aswast\app.py', ''); QuarantineFile('C:\Users\макс\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5B7Q7X1\SharemanSetup.exe', ''); QuarantineFile('C:\Users\макс\appdata\locallow\searchgo\searchgo.dll', ''); QuarantineFileF('c:\users\ef4f~1\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\макс\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('c:\users\макс\appdata\local\yandex\yandexbrowser\application\browser.bat', ''); DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\python\pythonw.exe', '32'); DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\ml.py', '32'); DeleteFile('C:\Users\EF4F~1\AppData\Roaming\aswast\app.py', '32'); DeleteFile('C:\Users\макс\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I5B7Q7X1\SharemanSetup.exe', '32'); DeleteFile('C:\Users\макс\appdata\locallow\searchgo\searchgo.dll', '32'); ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{17476150-72C7-4B15-8CD1-4CD1D87D213A}" /F', 0, 15000, true); DeleteFileMask('c:\users\ef4f~1\appdata\roaming\aswast', '*', true); DeleteFileMask('c:\users\макс\appdata\locallow\searchgo', '*', true); DeleteDirectory('c:\users\ef4f~1\appdata\roaming\aswast'); DeleteDirectory('c:\users\макс\appdata\locallow\searchgo'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rgfubonbda'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aswast', 'command'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению.
v431 Опубликовано 19 мая, 2017 Автор Опубликовано 19 мая, 2017 1. ссылка после загрузки карантина virusinfo_auto_МАКС-ПК.zip http://virusinfo.info/virusdetector/report.php?md5=3D93ABDDD1FD72B2F4D08E737EEF7A6A 2. ответ от <newv....@kaspersky.com> Re: quarantine.zip из папки AVZ [KLAN-6264562088] -------------------------------------------------------------------------------- Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: Интернет.url Yаndех (2).lnk Вoйти в Интeрнeт.lnk bcqr00001.dat bcqr00002.dat bcqr00003.dat bcqr00004.dat bcqr00005.dat bcqr00006.dat В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений: searchgo.dll - not-a-virus:AdWare.Win32.Agent.kcwn Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com" -------------------------------------------------------------------------------- 3. Отчёт о работе лог Check_Browsers_LNK.log на утилиту ClearLNK — в аттаче. 4. Для повторной диагностики запустите снова Autologger — в аттаче - CollectionLog-2017.05.19-20.03.zip 5. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. — в аттаче CollectionLog-2017.05.19-20.28.zip 6. C:\AdwCleaner\AdwCleaner[s0].txt — в аттаче. ClearLNK-19.05.2017_19-34.log CollectionLog-2017.05.19-20.03.zip CollectionLog-2017.05.19-20.28.zip AdwCleanerS0.txt
regist Опубликовано 19 мая, 2017 Опубликовано 19 мая, 2017 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
v431 Опубликовано 19 мая, 2017 Автор Опубликовано 19 мая, 2017 Отчет AdwCleaner Когда утилиты сканировали, они сообщали что должен открыться браузер (IE в данном случае) и его необходимо свернуть. Вместо этого, окно браузера IE открывалось, но тут же мгновенно закрывалось. Ничего не изменилось и сейчас, после сканирования и очистки (и последующей перезагрузки) AdwCleaner. Окно браузера IE открывается, но тут же закрывается. AdwCleanerC0.txt
regist Опубликовано 19 мая, 2017 Опубликовано 19 мая, 2017 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Свежий лог Autologger-а сделайте.
v431 Опубликовано 22 мая, 2017 Автор Опубликовано 22 мая, 2017 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Сделано. Свежий лог Autologger-а сделайте. Сделал. В аттаче. Internet Explorer все равно, открывается и тут же закрывается. И с аддонами, и без аддонов. CollectionLog-2017.05.22-17.05.zip
regist Опубликовано 22 мая, 2017 Опубликовано 22 мая, 2017 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk', ''); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk'); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk'); CreateQurantineArchive(GetAVZDirectory+'dom.ru.zip'); end. - Файл dom.ru.zip из папки AVZ прикрепите к своему следующему сообщению. Изменено 22 мая, 2017 пользователем regist
regist Опубликовано 23 мая, 2017 Опубликовано 23 мая, 2017 Попробуйте временно файл C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnkПереименовать к примеру вC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk.bakи проверить проблему. Если останется, то опишите подробней. IE открывается при включение ПК или когда ? И т.д.
v431 Опубликовано 23 мая, 2017 Автор Опубликовано 23 мая, 2017 Попробуйте временно файл C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnkПереименовать к примеру в C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dom.ru - Ярлык.lnk.bakи проверить проблему. Вы его подозреваете? Этот ярлык поместил в автозагрузку я, собственноручно. Он подключает PPPOE интернет и ведет вот на это подключение: Если его нет в автозагрузке - у меня нет удаленного доступа к компьютеру после перезагрузки, так как на этот ярлык необходимо каждый раз кликать чтобы включить интернет. Если останется, то опишите подробней. IE открывается при включение ПК или когда ? И т.д. IE я пытался открыть сам. Кликом на его ярлыках в Program - он запускался, но и тут же закрывался. Впрочем, сейчас зашел FAR'ом в C:\Program Files\Internet Explorer\iexplore.exe попробовал запустить exe напрямую - и он запустился. После этого кликнул по ярлыку в Start Menu, и о чудо, IE запустился и не закрылся. Итого, проблема, кажется, решена. Вирусов же больше нет? Я включил автоматическое обновление системы и сижу жду, когда она обновится. Что еще можно сделать?
regist Опубликовано 23 мая, 2017 Опубликовано 23 мая, 2017 @v431, я немного запутался, проблема в чём была? В том что он закрывался после запуска? Я так понял, что он вас самостоятельно без спросу открывался и уже потом сам закрывался. Вирусов да больше не видно. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
v431 Опубликовано 24 мая, 2017 Автор Опубликовано 24 мая, 2017 @v431, я немного запутался, проблема в чём была? В том что он закрывался после запуска? Я так понял, что он вас самостоятельно без спросу открывался и уже потом сам закрывался. Вирусов да больше не видно. Нет, вы неверно поняли. Бразуер IE сам не открывался, его не открывал никакой вирус. Браузер IE открывал я сам, кликая на его ярлыке. Кроме этого, его открывает сборщик логов. Проблема была в том, что браузер открывался, но тут же мгновенно закрывался. Но эта проблема ушла, сейчас всё нормально. В общем, наша эпопея подошла к концу. Компьютер работает. Большое вам спасибо.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти