олежек 0 Опубликовано 17 августа, 2017 Share Опубликовано 17 августа, 2017 (изменено) как то ровно такое же было уже на одном из компьютеров, на машинах на обоих стоит и стояла компаративная лицензия KES, но дело это не спасло. на первой машине в итоге, вообще все файлы в какой то момент зашифровались (пытался личить все это время, обращался на спецфорумы но не помогло), и пришлось просто переустановить машину на чисто, теперь такая же проблема но на другой уже машине, точно так же ни с того ни с сего начинает играть музыка и разговорная реклама, и так же внезапно прекращается, касперский при этом работает как ни в чем не бывало, скачать ремовал тут он нашел C:\Program Files\MPK\MpkNetInstall.exe но думаю что не оно, на предыдущем компьютере тоже что то находил но не помогало. CollectionLog-2017.08.17-10.30.zip Изменено 17 августа, 2017 пользователем олежек Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 17 августа, 2017 Share Опубликовано 17 августа, 2017 «Порядок оформления запроса о помощи» Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 17 августа, 2017 Share Опубликовано 17 августа, 2017 (изменено) 1) Здравствуйте!1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.2) "Пофиксите" в HijackThis: O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) O20-32 - Winlogon Notify: ScCertProp - Invalid registry found 3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.4) Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) Введите sfc /scannow и нажмите Энтер. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. После того как закончится проверка в командной строке введите команду: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. 5) Удалите Autologger и созданную им папку, скачайте актуальную версию по ссылке из правил и сделайте свежие логи им.И если в будущем придётся снова обращаться за помощью в лечение, то опять скачивайте свежую версию Автологера и собирайте ей, а не той что у вас осталась с прошлого раза. Компоненты Автологера регулярно обновляются и он сам пересобирается со свежими базами каждый день.6) , скачать ремовал тут он нашел C:\Program Files\MPK\MpkNetInstall.exe а KGB Keylogger вам знаком или нет?И заодно тогда Ammy Admin сами скачивали? Изменено 17 августа, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 (изменено) 1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. выполнил 2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) отправил, Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек). quarantine.zip Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" [KLAN-6669357770] 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. нашло только, AMMYAdmin C:\Users\filippova.INTECH\downloads\aa_v3.exe MD5=11BC606269A161555431BACF37F7C1E4 ,SHA1=63C52B0AC68AB7464E2CD777442A5807DB9B5383 Отчет Kaspersky Application Advisor 2) "Пофиксите" в HijackThis: O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) O20-32 - Winlogon Notify: ScCertProp - Invalid registry found сделал 3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. ClearLNK-21.08.2017_14-58.log систему сейчас пойду постараюсь восстановить, найду только диск установочный, о результатах сообщу. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. 5) Удалите Autologger и созданную им папку, скачайте актуальную версию по ссылке из правил и сделайте свежие логи им. И если в будущем придётся снова обращаться за помощью в лечение, то опять скачивайте свежую версию Автологера и собирайте ей, а не той что у вас осталась с прошлого раза. Компоненты Автологера регулярно обновляются и он сам пересобирается со свежими базами каждый день. CollectionLog-2017.08.21-15.33.zip пока могу сказать что "голоса" в колонках по прежнему "всплывают" ClearLNK-21.08.2017_14-58.log sfcdetails.txt CollectionLog-2017.08.21-15.33.zip Изменено 21 августа, 2017 пользователем олежек Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 В ходе проверки в автоматическом режиме не удалось распаковать архив. Просьба тогда пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы. пока могу сказать что "голоса" в колонках по прежнему "всплывают" я жду анализа по карантину, чтобы с уверенностью удалять и не удалить случайно системные файлы.Так что пока проблема осталась это нормально. нашло только, AMMYAdmin А где отчёт? Я просил 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 Просьба тогда пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы. отослал. А где отчёт? Я просил regist сказал(а) 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. я вставил кусочек, хотя нет, пересмотрел видимо "закрутился по работе" и забыл, прошу прощения, как его вставить!? https://virusinfo.info/virusdetector/report.php?md5=2F7F2BE11276202CB977CE769C6974FB Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 1) Создайте точку восстановления системы. 2)Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe'); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe'); StopService('wcvvses'); StopService('wscsvs'); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', ''); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', ''); DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe', '32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32'); DeleteService('wcvvses'); DeleteService('wscsvs'); DeleteFileMask('c:\windows\inf\axperflib', '*', true); DeleteDirectory('c:\windows\inf\axperflib'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: mms.exe mms_0.exe plugin-container.exe spsvc.exe taskhostex.exe vmms.exe Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" [KLAN-6693973948] 3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. FILIPPOVAWS_2017-08-22_15-19-43.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 KGB Keyloger сами ставили? Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 нет. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 + Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\ deldir %SystemRoot%\INF\NETLIBRARIESTIP\ zoo %SystemRoot%\ADFS\CTFMON.EXE deltmp ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL apply regt 27 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. нет. выполните этот скрипт и потом новый лог сделайте, уже следующим скриптом тогда дочищу. И пароли разумеется все потом смените. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 (изменено) После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. и потом новый лог сделайте, чем сделать? Изменено 22 августа, 2017 пользователем regist убрал карантин Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 чем сделать? uVS. ZOO_2017-08-22_16-40-15.zip карантин прикреплять к сообщениям запрещено. Пришлите его как просили. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
олежек 0 Опубликовано 22 августа, 2017 Автор Share Опубликовано 22 августа, 2017 арантин прикреплять к сообщениям запрещено. Пришлите его как просили. отослал. uVS. ниже. FILIPPOVAWS_2017-08-22_17-24-29.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 августа, 2017 Share Опубликовано 22 августа, 2017 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG dirzooex %SystemDrive%\PROGRAM FILES\MPK bl 203759B8848B16A5600053183170CDBD 38715904 zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL bl 9CA3973C883B10BB8E5379C4CD47A1B8 102400 zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEGL.DLL delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEGL.DLL bl FEA7D988CD9F908D580709CF3F2E1424 880128 zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBGLESV2.DLL delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBGLESV2.DLL deldir %SystemDrive%\PROGRAM FILES\MPK dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\ deldir %SystemRoot%\INF\NETLIBRARIESTIP\ bl E9A3C707FDA99579478E0EAC19E0AFA7 873472 zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.Подробнее читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.