rustorkan Опубликовано 5 июля, 2017 Опубликовано 5 июля, 2017 (изменено) Здравствуйте! P.S. Блокировщик рекламы для YouTube использую. MBAM.txt CollectionLog-2017.07.06-01.41.zip AdwCleanerS0.txt Изменено 5 июля, 2017 пользователем rustorkan
rustorkan Опубликовано 6 июля, 2017 Автор Опубликовано 6 июля, 2017 https://virusinfo.info/virusdetector/report.php?md5=D031071FAC1C5B293592C634BB636442
thyrex Опубликовано 6 июля, 2017 Опубликовано 6 июля, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe',''); QuarantineFile('C:\Program Files (x86)\YubeAlckU\2Nz5L7M.dll',''); DeleteFile('C:\Program Files (x86)\YubeAlckU\2Nz5L7M.dll','32'); DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2','64'); DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe','32'); DeleteFile('C:\Windows\system32\Tasks\MSI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
rustorkan Опубликовано 8 июля, 2017 Автор Опубликовано 8 июля, 2017 (изменено) KLAN-6500729417 C:\Users\1\AppData\Roaming\Microsoft\msi.exe В карантин не добавился. Ошибка карантина файла, попытка прямого чтения (C:\Users\1\AppData\Roaming\Microsoft\msi.exe) Карантин с использованием прямого чтения - ошибка P.S. Его уже антивирус в карантин добавил. P.P.S Добавил вручную и отправил на повторное исследование. KLAN-6500925457 CollectionLog-2017.07.08-21.08.zip Изменено 8 июля, 2017 пользователем rustorkan
thyrex Опубликовано 9 июля, 2017 Опубликовано 9 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 10 июля, 2017 Опубликовано 10 июля, 2017 YoutubeAdBlock удалите через Установку программ. Расширения для браузеров, связанные с YouTube, тоже будут удалены. Как показывает практика, они тоже с подвохом могут быть. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2017-07-05 14:27 - 2017-07-05 22:53 - 00000000 ____D C:\Users\1\AppData\Local\wupdate 2017-07-05 14:26 - 2017-07-05 22:52 - 00000000 ____D C:\Users\1\AppData\Local\PowerMonitor 2017-07-05 14:25 - 2017-07-05 14:25 - 00000000 ____D C:\Users\1\AppData\Local\Поиcк в Интeрнете 2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn 2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckU 2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE CHR Extension: (Adblocker for Youtube™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05] CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05] CHR Extension: (Adblocker for Youtube™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05] CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx Task: {5B04B6C1-90FE-4BD7-AA38-AF10487C12FA} - \MsSecurityEssentialss5qgnrvl.5ig -> No File <==== ATTENTION Task: {5B7A0577-8EC9-409A-A188-64DE41B81E66} - \2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 -> No File <==== ATTENTION Task: {ADF5D6E7-89EE-42D0-A9A3-EEB9D7262F2B} - \MsSecurityEssentials -> No File <==== ATTENTION AlternateDataStreams: C:\Users\1:Heroes & Generals [38] AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152] AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152] MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
rustorkan Опубликовано 10 июля, 2017 Автор Опубликовано 10 июля, 2017 (изменено) Постоянно появляется программа msi.exe по адресу: C:\Users\1\AppData\Roaming\Microsoft\msi.exe Антивирус ее находит и удаляет, но она появляется снова через некоторое время. P.S. Так я по поводу нее и обращался. Тогда буду наблюдать. P.P.S. Сейчас он ее почему-то не хочет удалять. ... MBAM2.txt Изменено 10 июля, 2017 пользователем rustorkan
rustorkan Опубликовано 11 июля, 2017 Автор Опубликовано 11 июля, 2017 Да. И KTS, и MBAM его находят, но не удаляют.
rustorkan Опубликовано 11 июля, 2017 Автор Опубликовано 11 июля, 2017 Из безопасного режима. MBAM3.txt
thyrex Опубликовано 11 июля, 2017 Опубликовано 11 июля, 2017 Скачайте ComboFix здесь и сохраните на Рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти