ИванКК Опубликовано 28 июня, 2017 Опубликовано 28 июня, 2017 День добрый) прошу помощи у добрых людей! Второй раз, практически идентичная проблема, но теперь только на другом компе... У самого не вышло удалить вирус никакими своими (дилетантскими) способами. Суть: В хроме, которым я пользуюсь и хочу пользоваться появиились всякие вирусные расширения либо вирусные настройки хрома, которые постоянно портят кровь, после мнимого удаления их антивирусами- они вновь появляются заново. Помогите, пожалуйста...прикрепляю логи и скрин того как касперский это видит CollectionLog-2017.06.29-00.59.zip
Sandor Опубликовано 29 июня, 2017 Опубликовано 29 июня, 2017 Здравствуйте! Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\krapi\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\krapi\AppData\Roaming\setupsk\ml.py', ''); QuarantineFile('C:\Users\krapi\AppData\Roaming\setupsk\python\pythonw.exe', ''); QuarantineFile('C:\Users\krapi\Favorites\Links\Интернет.url', ''); ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true); DeleteFile('C:\Users\krapi\AppData\Roaming\setupsk\ml.py', '32'); DeleteFile('C:\Users\krapi\AppData\Roaming\setupsk\python\pythonw.exe', '32'); DeleteFileMask('c:\users\krapi\appdata\roaming\setupsk', '*', true); DeleteDirectory('c:\users\krapi\appdata\roaming\setupsk'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1
ИванКК Опубликовано 29 июня, 2017 Автор Опубликовано 29 июня, 2017 Благодарю! Отчет приложил, а ответ такой: [KLAN-6464440482] Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует:Авиабилеты.urlИнтернет.urlЯндекс.urlФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. AdwCleanerC2.txt
Sandor Опубликовано 29 июня, 2017 Опубликовано 29 июня, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Проведите эту процедуру.Это сделали? Где ссылка? 1
ИванКК Опубликовано 29 июня, 2017 Автор Опубликовано 29 июня, 2017 + FRST.txt Addition.txt Shortcut.txt
ИванКК Опубликовано 29 июня, 2017 Автор Опубликовано 29 июня, 2017 Почему игнорируете вопросы? Извиняюсь, не заметил... жду результаты анализа
Sandor Опубликовано 29 июня, 2017 Опубликовано 29 июня, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0504F56D-9B1A-44A3-BD8A-51F1EE3E17B3%7D&gp=811014 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-05] FF Extension: (Поиск@Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-05] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\krapi\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-06-05] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Сообщите что с проблемой. 1 1
ИванКК Опубликовано 29 июня, 2017 Автор Опубликовано 29 июня, 2017 Прикрепляю. По вирус-инфо ответ пока не сформирован... прошел час. Проблема пока не дает о себе знать. Большое спасибо! отпишу если что-то всплывет Fixlog.txt
Sandor Опубликовано 29 июня, 2017 Опубликовано 29 июня, 2017 Хорошо. Проделайте завершающие шаги: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. ответ пока не сформированКогда будет, сообщите. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1
ИванКК Опубликовано 30 июня, 2017 Автор Опубликовано 30 июня, 2017 Когда будет, сообщите. Ответ так и не появился, я сделал новый запрос, но он создался с тем-же идентификационным номером... буду ждать Остальные действия выполню вечером и отпишу тоже. Благодарю!
ИванКК Опубликовано 30 июня, 2017 Автор Опубликовано 30 июня, 2017 Вирус активизировался снова, вечером напишу.
Sandor Опубликовано 30 июня, 2017 Опубликовано 30 июня, 2017 п.2 из моего предыдущего сообщения все же выполните и соберите свежий CollectionLog. 1
ИванКК Опубликовано 1 июля, 2017 Автор Опубликовано 1 июля, 2017 Sandor, привет! Пришли результаты только пару часов назад https://virusinfo.info/virusdetector/report.php?md5=B17BDC313E8B3EA99B78C952BC718986 Также прикладываю Лог Насчет вируса - на самом деле я уже не совсем уверен, что он не удален. Но буду рад если посмотрите последние логи SecurityCheck.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти