Sandor 1 253 Опубликовано 25 июля, 2017 Share Опубликовано 25 июля, 2017 перестал сегодня запускаться (вчера запускался) AdwCleanerСделайте очистку этой версией и соберите свежие логи FRST. Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 26 июля, 2017 Автор Share Опубликовано 26 июля, 2017 перестал сегодня запускаться (вчера запускался) AdwCleanerСделайте очистку этой версией и соберите свежие логи FRST. Shortcut в этот раз почему-то не сформировался. Addition.txt FRST.txt AdwCleanerS2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 июля, 2017 Share Опубликовано 27 июля, 2017 Лог очистки AdwCleaner содержит в имени символ [Cx], вы показали лог повторного сканирования [sx]. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {99d8a8ec-91d1-11e6-95b4-563412ea9078} - I:\autorun.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14172-2c42-11e7-9343-563412ea9078} - H:\autorun.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14175-2c42-11e7-9343-563412ea9078} - I:\autorun\shellg.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\MountPoints2: {9da14178-2c42-11e7-9343-563412ea9078} - J:\setup.exe HKU\S-1-5-21-1472174810-1441784943-2568682994-1000\...\Winlogon: [Shell] explorer.exe;C:\Users\Home\AppData\Local\svchost.exe <==== ATTENTION Toolbar: HKU\S-1-5-21-1472174810-1441784943-2568682994-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811036 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B2CDA22CF-E017-4AF5-84F5-0CF818A1293C%7D&gp=811037 FF Extension: (supermegabest) - C:\Users\Home\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-06-02] FF Extension: (Поиск@Mail.Ru) - C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-06-02] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR Profile: C:\Users\Home\AppData\Local\Google\Chrome\User Data\zejolydrkelyweteck [2017-06-03] <==== ATTENTION 2017-07-13 09:15 - 2017-07-13 09:15 - 00000000 ____D C:\Program Files\YiuAskUn Task: {103049C1-761B-4238-B79E-E1114ECCFA2D} - \BirdmayUpdateTaskMachineCore -> No File <==== ATTENTION Task: {45B4894F-1FF0-4EC2-8EB8-8E31BE8DF8CA} - \BirdmayUpdateTaskMachineUA -> No File <==== ATTENTION Task: {6591B6A0-FBEF-43D7-835E-D8514534164E} - System32\Tasks\MSI => C:\Users\Home\AppData\Roaming\Microsoft\msi.exe Task: {76782AC8-A677-4C66-A96C-3C15A2F4719C} - \Steam Client Helper -> No File <==== ATTENTION Task: {E6101011-224E-4A4B-9771-10E36D1C5E0B} - \{D8F61E7B-31F9-4D46-AEF3-8806C16154B7} -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [432] AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT2 [432] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В Хроме вручную удалите расширение (Fast search). Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 27 июля, 2017 Автор Share Опубликовано 27 июля, 2017 1. Я всё это затеял как раз потому что и не могу поставить антивирус в автозагрузку. 2. Хром удалён, видимо, это какие-то следы. 3.Скопировать и куда вставить? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 1. Это такой шаблон просто ) 2. Проверьте есть ли папка C:\Users\Home\AppData\Local\Google\Chrome\ Если есть, удалите вручную. 3. Вы все сделали правильно. Пробуйте теперь установить антивирус и сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 30 июля, 2017 Автор Share Опубликовано 30 июля, 2017 (изменено) 1. Это такой шаблон просто ) 2. Проверьте есть ли папка C:\Users\Home\AppData\Local\Google\Chrome\ Если есть, удалите вручную. 3. Вы все сделали правильно. Пробуйте теперь установить антивирус и сообщите результат. Антивирусы в автозагрузку не ставятся. (При сборке логов почему-то запускалось два ИЕ). CollectionLog-2017.07.30-23.46.zip Изменено 30 июля, 2017 пользователем dima_l Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 июля, 2017 Share Опубликовано 31 июля, 2017 (изменено) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\firefox\bin\firefoxupdate.exe',''); QuarantineFile('C:\Users\Home\appdata\local\background_fault\bf.dll',''); QuarantineFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys',''); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('C:\Users\Home\appdata\local\background_fault\bf.dll','32'); DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DeleteService('iSafeKrnlMon'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится.После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Соберите свежий лог сканирования AdwCleaner. Изменено 31 июля, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 31 июля, 2017 Автор Share Опубликовано 31 июля, 2017 Выполняю, прилагаю. AdwCleanerS0.txt CollectionLog-2017.07.31-23.04.zip Correct_wuauserv&BITS.log Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 1 августа, 2017 Автор Share Опубликовано 1 августа, 2017 KLAN-6595256072 Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode. Adware application designed to display ads was detected in the following files: firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.btx Malicious code has been detected in the following files: bf.dll - Trojan-Downloader.Win32.Agent.sillol We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
dima_l 0 Опубликовано 1 августа, 2017 Автор Share Опубликовано 1 августа, 2017 При установке программы: "Ошибка создания ключа реестра: RegCreateKeyEx Нет разрешения на доступ" AdwCleanerC0.txt AdwCleanerS1.txt scan.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё найденное - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected"). Подробнее читайте в руководстве. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 августа, 2017 Share Опубликовано 1 августа, 2017 При установке программы: "Ошибка создания ключа реестра: RegCreateKeyEx какой именно программы? Скрин ошибки можно? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.