r0sty 0 Опубликовано 20 августа, 2017 Share Опубликовано 20 августа, 2017 Здравствуйте установилось много рекламы на компьютер(скачивал файл с платного ФО,хотя все галочки убрал) и теперь данный msi.exe не удаляется и каждый день закачивает новые файлы и вирусы,помогите пожалуйста CollectionLog-2017.08.20-20.47.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 20 августа, 2017 Share Опубликовано 20 августа, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\ASUS\appdata\roaming\curl\curl_7_54.exe',''); QuarantineFile('C:\Users\ASUS\appdata\local\wupdate\wupdate.exe',''); QuarantineFile('C:\Users\ASUS\appdata\local\comdev\comdev.exe',''); QuarantineFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe',''); DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}'); QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kquBD6dw.dll',''); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe',''); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); QuarantineFile('c:\windows\microsoft\svchost.exe',''); DeleteFile('c:\windows\microsoft\svchost.exe','32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ikwpvtuibt'); DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kquBD6dw.dll','32'); DeleteFile('C:\Windows\system32\Tasks\MSI','64'); DeleteFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe','32'); DeleteFile('C:\Users\ASUS\appdata\local\comdev\comdev.exe','32'); DeleteFile('C:\Users\ASUS\appdata\local\wupdate\wupdate.exe','32'); DeleteFile('C:\Users\ASUS\appdata\roaming\curl\curl_7_54.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end.Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 20 августа, 2017 Автор Share Опубликовано 20 августа, 2017 Все отправил,ссылку на тему в теме сообщения указал и в самом сообщении написал "virus"Вот новые логи CollectionLog-2017.08.20-21.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 Вот Logs.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Расширение Блокировщик Рекламы Для Ютуба™ удалите в Опера. YoutubeAdBlock удалите через Установку программ. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: S2 SvcHost Service Host; "C:\Windows\Microsoft\svchost.exe" -k LocalService [X] 2017-08-20 23:25 - 2017-08-20 23:25 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf2eafa081afce30f 2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsigne64a05f2337a98f2 2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign7a1f57190164e263 2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign1709205caeced57f 2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\thzXuJvjU 2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\QYERbvxRHIE 2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\GXZiGyYLSHyU2 2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn 2017-08-20 19:12 - 2017-08-20 19:12 - 000000000 ____D C:\Users\ASUS\AppData\Local\Вoйти в Интeрнет 2017-08-20 19:10 - 2017-08-20 19:10 - 000000000 ____D C:\Users\ASUS\AppData\Local\yc 2017-08-20 19:09 - 2017-08-20 21:29 - 000000000 ____D C:\Users\ASUS\AppData\Local\wupdate 2017-08-20 19:06 - 2017-08-20 19:06 - 000000000 ____D C:\Users\ASUS\AppData\Local\Поиcк в Интeрнете 2017-08-20 19:05 - 2017-08-20 19:37 - 000000000 ____D C:\Program Files\UBar 2017-08-18 12:25 - 2017-08-18 12:25 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignfb9bca1ba841a73e 2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf0dd6c4c828160e8 2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignd4ceef654361548a 2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignac97d847aaf39011 2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign52387c707d27baa2 2017-08-17 02:46 - 2017-08-17 02:46 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2dcd7d6ce04034a9 2017-08-17 02:27 - 2017-08-17 02:27 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign91881130d3e403f1 2017-08-17 02:27 - 2017-08-17 02:27 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign80ffcf564fa9c0d6 2017-08-17 02:26 - 2017-08-17 02:26 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf7cd7ee474bb9311 2017-08-17 02:26 - 2017-08-17 02:26 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign9388a14aa08d7926 2017-08-17 02:04 - 2017-08-17 02:04 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign8708de6cfef961f6 2017-08-17 02:03 - 2017-08-17 02:03 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign329819324cbd36f1 2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignd2d8962f51239840 2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign4fdf726ce0cd6632 2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2469eb17dd1dd598 2017-08-17 01:53 - 2017-08-17 01:53 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign0fcacaaf792add06 2017-08-17 01:52 - 2017-08-17 01:52 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignba8b46417858f099 2017-08-17 01:52 - 2017-08-17 01:52 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign1ab08662ad9c631b 2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsigne3726c564b0833e8 2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignbd1914c36868554b 2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign6cad3d2711ddbef6 2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign4f1a143c4f61b007 2017-08-12 21:33 - 2017-08-12 21:33 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignc3c356813913c856 2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign861ae2f3a388e74c 2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign6538f0d7f6d2ed0b 2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2a46e1b04a4baebf 2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign145c1de3ee595611 2017-08-20 19:45 - 2017-08-20 19:45 - 002418819 ____N () C:\Users\ASUS\AppData\Local\Temp\35Ai37XrEK2G.exe 2017-08-20 19:10 - 2017-08-20 19:10 - 038316032 ____N (The Chromium Authors) C:\Users\ASUS\AppData\Local\Temp\6Gl6UweNjvse.exe 2017-08-20 19:05 - 2017-08-20 19:05 - 000026112 _____ (Ubar Plugin Soft) C:\Users\ASUS\AppData\Local\Temp\coi1634.exe 2017-08-20 19:05 - 2017-08-20 19:05 - 002418819 _____ () C:\Users\ASUS\AppData\Local\Temp\TDsU3dmFjhX5.exe CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{182FB546-8596-4CEF-9CB5-E9505BF7F628}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\hhdhexneo.dll => No File CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{6DB27B2E-87AC-4354-927A-AD711A0ED77E}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{A244CEC5-DB63-4ED9-B0D7-A0527C064113}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{AE1514A4-5D7D-4D1B-BC7F-320E6962B0DD}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{B845012A-F05A-4EC8-816D-B033183B9CA5}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\hhdhexneo.dll => No File CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{F350F7C1-9F0E-4A97-8EEC-E690C7095BEF}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\PatchAPI\dll\x64\hexpatch64.dll => No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {94DC3936-A196-4D01-B68E-73A8B9AB5320} - \MSI -> No File <==== ATTENTION C:\Users\ASUS\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 Выполнил Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 Да,пропал msi.exe Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Скопируйте содержимое файла в свое следующее сообщение. Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17] WebSite: www.safezone.cc DateLog: 21.08.2017 10:48:56 Path starting: C:\Users\ASUS\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: ASUS VersionXML: 4.56is-14.08.2017 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 16.04.2017 16:29:11 Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [59 Гб] Занято: [41.4 Гб] Свободно: [17.6 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18349 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба остановлена Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба остановлена Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------- [ HotFix ] -------------------------------- HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138910 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2010 x86 v.14.0.4763.1000 --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба остановлена --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Secure Connection v.17.0.0.611 Kaspersky Free v.17.0.0.611 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.50 beta 6 (64-bit) v.5.50.6 [+] FileZilla Client 3.27.0.1 v.3.27.0.1 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.39 v.7.39.102 ---------------------------- [ ProxyAndVPNs ] ----------------------------- OpenVPN 2.4.3-I601 v.2.4.3-I601 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 144 (64-bit) v.8.0.1440.1 Java 8 Update 144 v.8.0.1440.1 --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 26 ActiveX v.26.0.0.151 Adobe Flash Player 26 NPAPI v.26.0.0.151 Adobe Flash Player 26 PPAPI v.26.0.0.151 Adobe Reader XI (11.0.14) - Russian v.11.0.14 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera Stable 47.0.2631.55 v.47.0.2631.55 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Opera\47.0.2631.55\opera.exe v.47.0.2631.55 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба остановлена klvssbrigde64 (klvssbrigde64) - Служба остановлена C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643 Защитник Windows (WinDefend) - Служба остановлена ----------------------------- [ End of Log ] ------------------------------ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Исправляйте указанное Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 Исправляйте указанное hotfix'ы не устанавливаются,пишет,что не поддерживает система,что-то такое Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 21 августа, 2017 Share Опубликовано 21 августа, 2017 Значит пропустите этот шаг Цитата Ссылка на сообщение Поделиться на другие сайты
r0sty 0 Опубликовано 21 августа, 2017 Автор Share Опубликовано 21 августа, 2017 Все выполнил Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.