Перейти к содержанию

внезапно проигрывается музыка, реклама.


Рекомендуемые сообщения

как то ровно такое же было уже на одном из компьютеров, на машинах на обоих стоит и стояла компаративная лицензия KES, но дело это не спасло. на первой машине в итоге, вообще все файлы в какой то момент зашифровались (пытался личить все это время, обращался на спецфорумы но не помогло), и пришлось просто переустановить машину на чисто, теперь такая же проблема но на другой уже машине, точно так же ни с того ни с сего начинает играть музыка и разговорная реклама, и так же внезапно прекращается, касперский при этом работает как ни в чем не бывало, скачать ремовал тут он нашел C:\Program Files\MPK\MpkNetInstall.exe но думаю что не оно, на предыдущем компьютере тоже что то находил но не помогало.

 

 

CollectionLog-2017.08.17-10.30.zip

Изменено пользователем олежек
Ссылка на сообщение
Поделиться на другие сайты

1) Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) "Пофиксите" в HijackThis:



O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O20-32 - Winlogon Notify: ScCertProp   - Invalid registry found

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

4)

  • Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  • Введите sfc /scannow и нажмите Энтер.
  • Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
  • После того как закончится проверка в командной строке введите команду:
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
  • После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

5) Удалите Autologger и созданную им папку, скачайте актуальную версию по ссылке из правил и сделайте свежие логи им.
И если в будущем придётся снова обращаться за помощью в лечение, то опять скачивайте свежую версию Автологера и собирайте ей, а не той что у вас осталась с прошлого раза. Компоненты Автологера регулярно обновляются и он сам пересобирается со свежими базами каждый день.

6)

, скачать ремовал тут он нашел C:\Program Files\MPK\MpkNetInstall.exe

а KGB Keylogger вам знаком или нет?

И заодно тогда Ammy Admin сами скачивали?

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):   begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('c:\windows\inf\axperflib', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteRepair(9); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.

 

 

выполнил

 

 

 

2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

отправил, 

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

 

 

[KLAN-6669357770]

 

 

 

3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

нашло только, AMMYAdmin

 

C:\Users\filippova.INTECH\downloads\aa_v3.exe 

MD5=11BC606269A161555431BACF37F7C1E4 ,SHA1=63C52B0AC68AB7464E2CD777442A5807DB9B5383 

Отчет Kaspersky Application Advisor

 

 

2) "Пофиксите" в HijackThis: O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) O20-32 - Winlogon Notify: ScCertProp - Invalid registry found

 

 
сделал
 

 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

 

 
систему сейчас пойду постараюсь восстановить, найду только диск установочный, о результатах сообщу.
 

 

После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

5) Удалите Autologger и созданную им папку, скачайте актуальную версию по ссылке из правил и сделайте свежие логи им. И если в будущем придётся снова обращаться за помощью в лечение, то опять скачивайте свежую версию Автологера и собирайте ей, а не той что у вас осталась с прошлого раза. Компоненты Автологера регулярно обновляются и он сам пересобирается со свежими базами каждый день.

 

 

 

пока могу сказать что "голоса" в колонках по прежнему "всплывают" :(

ClearLNK-21.08.2017_14-58.log

sfcdetails.txt

CollectionLog-2017.08.21-15.33.zip

Изменено пользователем олежек
Ссылка на сообщение
Поделиться на другие сайты

 

 


В ходе проверки в автоматическом режиме не удалось распаковать архив.
Просьба тогда пришлите на почту 6fe17320c989.jpg, укажите  в письме ссылку на тему, в которой просили прислать файлы.

 

 


пока могу сказать что "голоса" в колонках по прежнему "всплывают" :(
я жду анализа по карантину, чтобы с уверенностью удалять и не удалить случайно системные файлы.

Так что пока проблема осталась это нормально.


 

 


нашло только, AMMYAdmin
А где отчёт? Я просил

 

 


3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Ссылка на сообщение
Поделиться на другие сайты

 

 


Просьба тогда пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

 

отослал.

 

 

 


А где отчёт? Я просил regist сказал(а) 3) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

я вставил кусочек, хотя нет, пересмотрел видимо "закрутился по работе" и забыл, прошу прощения, как его вставить!? 

 

https://virusinfo.info/virusdetector/report.php?md5=2F7F2BE11276202CB977CE769C6974FB

Ссылка на сообщение
Поделиться на другие сайты

1) Создайте точку восстановления системы.

 

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 StopService('wcvvses');
 StopService('wscsvs');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe', '32');
 DeleteService('wcvvses');
 DeleteService('wscsvs');
 DeleteFileMask('c:\windows\inf\axperflib', '*', true);
 DeleteDirectory('c:\windows\inf\axperflib');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 
Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта компьютер перезагрузится.  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

mms.exe

mms_0.exe

plugin-container.exe

spsvc.exe

taskhostex.exe

vmms.exe

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

 

[KLAN-6693973948]

 

 

 

3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

FILIPPOVAWS_2017-08-22_15-19-43.7z

Ссылка на сообщение
Поделиться на другие сайты

+

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\
    zoo %SystemRoot%\ADFS\CTFMON.EXE
    deltmp
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
    apply
    
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

 

 


нет.
выполните этот скрипт и потом новый лог сделайте, уже следующим скриптом тогда дочищу.

 

И пароли разумеется все потом смените.

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

и потом новый лог сделайте,

 

чем сделать?

Изменено пользователем regist
убрал карантин
Ссылка на сообщение
Поделиться на другие сайты

 

 


чем сделать?
uVS.

 

 


ZOO_2017-08-22_16-40-15.zip
карантин прикреплять к сообщениям запрещено. Пришлите его как просили.
Ссылка на сообщение
Поделиться на другие сайты

арантин прикреплять к сообщениям запрещено. Пришлите его как просили.

 

 

отослал.

 

 

uVS.

 

 

ниже.

FILIPPOVAWS_2017-08-22_17-24-29.7z

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    dirzooex %SystemDrive%\PROGRAM FILES\MPK
    bl 203759B8848B16A5600053183170CDBD 38715904
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBCEF.DLL
    bl 9CA3973C883B10BB8E5379C4CD47A1B8 102400
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEGL.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEGL.DLL
    bl FEA7D988CD9F908D580709CF3F2E1424 880128
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBGLESV2.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBGLESV2.DLL
    deldir %SystemDrive%\PROGRAM FILES\MPK
    dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\
    bl E9A3C707FDA99579478E0EAC19E0AFA7 873472
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\FFMPEGSUMO.DLL
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...