ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Доброго времени суток, помогите пожалуйста поймал троян , запустил доктор Веб удали 4 зараженных файла, и КВРТ , удалил один. В защитнике виндовс прописались папки которые не могу от туда убрать . Логи прикрепляю. CollectionLog-2017.07.14-03.45.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll',''); QuarantineFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', ''); QuarantineFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll', ''); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Phoenix Browser Updater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\YiuAskIE\kO5ATp9E.dll','32'); DeleteFile('C:\Users\olegl\AppData\Roaming\System\svchost.exe', '32'); DeleteFile('C:\Program Files (x86)\YiuAskU\t6YgDcm.dll'); DeleteFile('C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe', '32'); DelBHO('{2C6A44CB-AD42-4731-A544-3FBD3D83AB5B}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 quarantine.zip = 51 701КБ не получается по электронке отправить. Логи прикрепил. CollectionLog-2017.07.14-10.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 не получается по электронке отправитьЗалейте на файлообменник, ссылку на скачивание мне в ЛС. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) К сожалению все удалил , но есть прямая сылка на заразу даю в личку. AdwCleanerS0.txt Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Запустите повторно AdwCleaner Прикрепите отчет к своему следующему сообщению Скачайте Farbar Recovery Scan Tool Прикрепите отчеты к своему следующему сообщению. AdwCleanerC0.txt AdwCleanerS1.txt AdwCleanerC2.txt AdwCleanerS2.txt AdwCleanerS3.txt AdwCleanerC3.txt FRST.txt Addition.txt Shortcut.txt Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: CHR HomePage: Default -> hxxp://battlelog.battlefield.com/bf3/ru/gate/?returnUrl= CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204" 2017-07-14 01:43 - 2017-07-14 01:43 - 00003794 __RSH C:\WINDOWS\System32\Tasks\curl 2017-07-14 01:43 - 2017-07-14 01:43 - 00003588 __RSH C:\WINDOWS\System32\Tasks\curls 2017-07-14 01:43 - 2017-07-14 01:43 - 00003582 __RSH C:\WINDOWS\System32\Tasks\MSI 2017-07-14 01:43 - 2017-07-14 01:43 - 00000000 ____D C:\Users\olegl\AppData\Roaming\curl 2017-07-14 01:46 - 2017-07-14 01:47 - 00000318 _____ C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job 2017-07-14 01:46 - 2017-07-14 01:46 - 00002680 _____ C:\WINDOWS\System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B Task: {29122DF1-B230-4770-B4D6-FEA7651478F9} - System32\Tasks\curls => C:\Users\olegl\AppData\Roaming\curl\curl.exe Task: {3EDB06A3-82AA-4194-8CB5-31548796E60C} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B => Rundll32.exe "C:\Program Files (x86)\YiuAskU\t6YgDcm.dll",#1 <==== ATTENTION Task: {6D4960B4-1294-4031-A23D-8FF3C3E5F314} - System32\Tasks\MSI => C:\Users\olegl\AppData\Roaming\Microsoft\msi.exe Task: {EE9E2641-689A-487A-A205-D98767540913} - System32\Tasks\curl => C:\Users\olegl\AppData\Roaming\curl\curl_7_54.exe [2017-07-14] (curl, hxxps://curl.haxx.se/) Task: C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job => C:\Program Files (x86)\YiuAskU\t6YgDcm.dll <==== ATTENTION AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Расширение Хрома Блокировщик Рекламы Для Ютуба™удалите вручную. Сообщите что с проблемой. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 Огромное спасибо , пк стабилен. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 после проверки adwcleaner_6.047.exe , кликаю Очистить , потом перезагрузка и снова появляется startup_urls ( Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 Отключите синхронизацию - Как отключить синхронизацию в Chrome Удалите Хром (сохраните нужные закладки). Убедитесь, что папка C:\Users\olegl\AppData\Local\Google\Chrome\отсутствует. Если нет, удалите вручную. Скачайте и установите заново. Результат сообщите. Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 14 июля, 2017 Автор Share Опубликовано 14 июля, 2017 (изменено) Удалил браузер , осталась папка , но не могу удалить одну ветку , толи прав нет , толи процес используется C:\Users\olegl\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini\1.21_0 \_locales \_metadata \icons \manifest.json в безопасном режиме тоже не смог. Удали изменив права доступа к папке и подпапкам и файлам. C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. SecurityCheck.txt Изменено 14 июля, 2017 пользователем ОЛЕГ ЛЕВЧУК Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 июля, 2017 Share Опубликовано 14 июля, 2017 (изменено) 7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления^Удалите старую версию, скачайте и установите новую.^FileZilla Client 3.25.0 v.3.25.0 Внимание! Скачать обновленияAdobe Flash Player 19 PPAPI v.19.0.0.228 Внимание! Скачать обновленияAdobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления Изменено 14 июля, 2017 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ОЛЕГ ЛЕВЧУК 4 Опубликовано 15 июля, 2017 Автор Share Опубликовано 15 июля, 2017 Добрый день , на закрепления пожалуйста посмотрите логи. CollectionLog-2017.07.15-14.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.