Sandor Опубликовано 25 июля, 2017 Опубликовано 25 июля, 2017 перестал сегодня запускаться (вчера запускался) AdwCleanerСделайте очистку этой версией и соберите свежие логи FRST.
dima_l Опубликовано 26 июля, 2017 Автор Опубликовано 26 июля, 2017 перестал сегодня запускаться (вчера запускался) AdwCleanerСделайте очистку этой версией и соберите свежие логи FRST. Shortcut в этот раз почему-то не сформировался. Addition.txt FRST.txt AdwCleanerS2.txt
Sandor Опубликовано 27 июля, 2017 Опубликовано 27 июля, 2017 Лог очистки AdwCleaner содержит в имени символ [Cx], вы показали лог повторного сканирования [sx]. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {99d8a8ec-91d1-11e6-95b4-563412ea9078} - I:\autorun.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14172-2c42-11e7-9343-563412ea9078} - H:\autorun.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14175-2c42-11e7-9343-563412ea9078} - I:\autorun\shellg.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14178-2c42-11e7-9343-563412ea9078} - J:\setup.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\Winlogon: [Shell] explorer.exe;C:\Users\Home\AppData\Local\svchost.exe <==== ATTENTION Toolbar: HKU\S-1-5-21-1472174810-1441784943-2568682994-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811036 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B2CDA22CF-E017-4AF5-84F5-0CF818A1293C%7D&gp=811037 FF Extension: (supermegabest) - C:\Users\Home\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-02] FF Extension: (Поиск@Mail.Ru) - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-02] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR Profile: C:\Users\Home\AppData\Local\Google\Chrome\User Data\zejolydrkelyweteck [2017-06-03] <==== ATTENTION 2017-07-13 09:15 - 2017-07-13 09:15 - 00000000 ____D C:\Program Files\YiuAskUn Task: {103049C1-761B-4238-B79E-E1114ECCFA2D} - \BirdmayUpdateTaskMachineCore -> No File <==== ATTENTION Task: {45B4894F-1FF0-4EC2-8EB8-8E31BE8DF8CA} - \BirdmayUpdateTaskMachineUA -> No File <==== ATTENTION Task: {6591B6A0-FBEF-43D7-835E-D8514534164E} - System32\Tasks\MSI => C:\Users\Home\AppData\Roaming\Microsoft\msi.exe Task: {76782AC8-A677-4C66-A96C-3C15A2F4719C} - \Steam Client Helper -> No File <==== ATTENTION Task: {E6101011-224E-4A4B-9771-10E36D1C5E0B} - \{D8F61E7B-31F9-4D46-AEF3-8806C16154B7} -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [432] AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT2 [432] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В Хроме вручную удалите расширение (Fast search).
dima_l Опубликовано 27 июля, 2017 Автор Опубликовано 27 июля, 2017 1. Я всё это затеял как раз потому что и не могу поставить антивирус в автозагрузку. 2. Хром удалён, видимо, это какие-то следы. 3.Скопировать и куда вставить? Fixlog.txt
Sandor Опубликовано 28 июля, 2017 Опубликовано 28 июля, 2017 1. Это такой шаблон просто ) 2. Проверьте есть ли папка C:\Users\Home\AppData\Local\Google\Chrome\ Если есть, удалите вручную. 3. Вы все сделали правильно. Пробуйте теперь установить антивирус и сообщите результат.
dima_l Опубликовано 30 июля, 2017 Автор Опубликовано 30 июля, 2017 (изменено) 1. Это такой шаблон просто ) 2. Проверьте есть ли папка C:\Users\Home\AppData\Local\Google\Chrome\ Если есть, удалите вручную. 3. Вы все сделали правильно. Пробуйте теперь установить антивирус и сообщите результат. Антивирусы в автозагрузку не ставятся. (При сборке логов почему-то запускалось два ИЕ). CollectionLog-2017.07.30-23.46.zip Изменено 30 июля, 2017 пользователем dima_l
Sandor Опубликовано 31 июля, 2017 Опубликовано 31 июля, 2017 (изменено) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\firefox\bin\firefoxupdate.exe',''); QuarantineFile('C:\Users\Home\appdata\local\background_fault\bf.dll',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys',''); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('C:\Users\Home\appdata\local\background_fault\bf.dll','32'); DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DeleteService('iSafeKrnlMon'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится.После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Соберите свежий лог сканирования AdwCleaner. Изменено 31 июля, 2017 пользователем Sandor
dima_l Опубликовано 31 июля, 2017 Автор Опубликовано 31 июля, 2017 Выполняю, прилагаю. AdwCleanerS0.txt CollectionLog-2017.07.31-23.04.zip Correct_wuauserv&BITS.log
dima_l Опубликовано 1 августа, 2017 Автор Опубликовано 1 августа, 2017 KLAN-6595256072 Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode. Adware application designed to display ads was detected in the following files: firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.btx Malicious code has been detected in the following files: bf.dll - Trojan-Downloader.Win32.Agent.sillol We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ
Sandor Опубликовано 1 августа, 2017 Опубликовано 1 августа, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве.
dima_l Опубликовано 1 августа, 2017 Автор Опубликовано 1 августа, 2017 При установке программы: "Ошибка создания ключа реестра: RegCreateKeyEx Нет разрешения на доступ" AdwCleanerC0.txt AdwCleanerS1.txt scan.txt
Sandor Опубликовано 1 августа, 2017 Опубликовано 1 августа, 2017 Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё найденное - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected"). Подробнее читайте в руководстве. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
regist Опубликовано 1 августа, 2017 Опубликовано 1 августа, 2017 При установке программы: "Ошибка создания ключа реестра: RegCreateKeyEx какой именно программы? Скрин ошибки можно?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти