VladIvanych 0 Опубликовано 30 сентября, 2017 Share Опубликовано 30 сентября, 2017 Нужна помощь, не знаю, что делать. Касперский обнаружил, но не лечит и не удаляет. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 30 сентября, 2017 Share Опубликовано 30 сентября, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 30 сентября, 2017 Автор Share Опубликовано 30 сентября, 2017 Лог прилагается. Программа показывает (файл ПоказываетКасперский.gif) CollectionLog-2017.09.30-16.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 30 сентября, 2017 Share Опубликовано 30 сентября, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', ''); QuarantineFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', ''); ExecuteFile('schtasks.exe', '/delete /TN "Driver" /F', 0, 15000, true); DeleteFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', '32'); DeleteFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32'); DeleteService('fizywiqu'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 30 сентября, 2017 Автор Share Опубликовано 30 сентября, 2017 При выполнении скрипта, от интернета отключаться обязательно? Отчет ClearLNK Касперский все равно показывает угрозу Trojan.win32.Miner.swyt Объект: C:\users\vladivanych\appdata\roaming\1337\vs.exe, но в папке 1337 нет файла vs.exe, есть f.exe и setup.exe ClearLNK-30.09.2017_21-03.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 октября, 2017 Share Опубликовано 1 октября, 2017 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Ждем повторный CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 1 октября, 2017 Автор Share Опубликовано 1 октября, 2017 Новый collectionLog CollectionLog-2017.10.01-17.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 октября, 2017 Share Опубликовано 1 октября, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 2 октября, 2017 Автор Share Опубликовано 2 октября, 2017 Отчет adwCleaner AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 2 октября, 2017 Share Опубликовано 2 октября, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 2 октября, 2017 Автор Share Опубликовано 2 октября, 2017 Новые отчеты AdwCleanerS2.txt Addition.txt Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 2 октября, 2017 Share Опубликовано 2 октября, 2017 (изменено) В имени отчета очистки AdwCleaner должен быть символ [C], а не . Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF1CE1B5-EB90-464C-B4AC-778198535DF8%7D&gp=812209 BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811021 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BDD5BD083-EF59-4812-A2C7-B716D730D18E%7D&gp=812209 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-08-14] FF Extension: (Поиск@Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-08-14] CHR StartupUrls: DFLTUSER -> "hxxp://mail.ru/cnt/10445?gp=820321" CHR NewTab: DFLTUSER -> Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html" S4 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys [X] 2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\Users\Все пользователи\IObit 2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\ProgramData\IObit ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {08A2A796-8BC9-4C44-B3A6-405C57FD10B4} - \DealPly -> No File <==== ATTENTION Task: {0ADCE679-89CD-497E-9D6E-41A963320463} - System32\Tasks\Appdistribute Updater Task => C:\Program Files\Common Files\Distribute Application\downloader.exe Task: {83F1896A-3C03-41B2-A540-A6EA64972B76} - \Safebrowser -> No File <==== ATTENTION Task: {9BD00770-C8C4-4E22-AA19-007AA618F210} - \Yahoo! Search Udpater -> No File <==== ATTENTION Task: {E160329C-DBC3-4FF0-8C18-23DA2D48C02E} - \Yahoo! Search -> No File <==== ATTENTION Task: {E22C7377-A7EA-4402-9E1D-F92C8FCACEE3} - System32\Tasks\ASC8_SkipUac_vladivanych => D:\Program Files\IObit\Advanced SystemCare 8\ASC.exe AlternateDataStreams: C:\Users\vladivanych\Local Settings:wa [146] AlternateDataStreams: C:\Users\vladivanych\AppData\Local:wa [146] AlternateDataStreams: C:\Users\vladivanych\AppData\Local\Application Data:wa [146] FirewallRules: [mediaget-tcp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [mediaget-udp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 2 октября, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 2 октября, 2017 Автор Share Опубликовано 2 октября, 2017 Fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 2 октября, 2017 Share Опубликовано 2 октября, 2017 Сообщите что с проблемой. И проверьте, пожалуйста, есть ли ярлыки стандартных программ типа Wordpad, Гаджеты и т.п.? Если есть, нормально ли запускаются? Цитата Ссылка на сообщение Поделиться на другие сайты
VladIvanych 0 Опубликовано 2 октября, 2017 Автор Share Опубликовано 2 октября, 2017 Удалены куки, вся история браузера удалена. Предупреждение об угрозе весит Ярлыки стандартных программ Paint, блокнот есть. WordPad -нет. Был ли он ранее не помню, не пользовался. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.