VladIvanych Опубликовано 30 сентября, 2017 Опубликовано 30 сентября, 2017 Нужна помощь, не знаю, что делать. Касперский обнаружил, но не лечит и не удаляет.
Mark D. Pearlstone Опубликовано 30 сентября, 2017 Опубликовано 30 сентября, 2017 Порядок оформления запроса о помощи
VladIvanych Опубликовано 30 сентября, 2017 Автор Опубликовано 30 сентября, 2017 Лог прилагается. Программа показывает (файл ПоказываетКасперский.gif) CollectionLog-2017.09.30-16.44.zip
Sandor Опубликовано 30 сентября, 2017 Опубликовано 30 сентября, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', ''); QuarantineFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', ''); ExecuteFile('schtasks.exe', '/delete /TN "Driver" /F', 0, 15000, true); DeleteFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', '32'); DeleteFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32'); DeleteService('fizywiqu'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
VladIvanych Опубликовано 30 сентября, 2017 Автор Опубликовано 30 сентября, 2017 При выполнении скрипта, от интернета отключаться обязательно? Отчет ClearLNK Касперский все равно показывает угрозу Trojan.win32.Miner.swyt Объект: C:\users\vladivanych\appdata\roaming\1337\vs.exe, но в папке 1337 нет файла vs.exe, есть f.exe и setup.exe ClearLNK-30.09.2017_21-03.log
Sandor Опубликовано 1 октября, 2017 Опубликовано 1 октября, 2017 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Ждем повторный CollectionLog.
VladIvanych Опубликовано 1 октября, 2017 Автор Опубликовано 1 октября, 2017 Новый collectionLog CollectionLog-2017.10.01-17.22.zip
Sandor Опубликовано 1 октября, 2017 Опубликовано 1 октября, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
VladIvanych Опубликовано 2 октября, 2017 Автор Опубликовано 2 октября, 2017 Отчет adwCleaner AdwCleanerS0.txt
Sandor Опубликовано 2 октября, 2017 Опубликовано 2 октября, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
VladIvanych Опубликовано 2 октября, 2017 Автор Опубликовано 2 октября, 2017 Новые отчеты AdwCleanerS2.txt Addition.txt Addition.txt FRST.txt
Sandor Опубликовано 2 октября, 2017 Опубликовано 2 октября, 2017 (изменено) В имени отчета очистки AdwCleaner должен быть символ [C], а не . Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF1CE1B5-EB90-464C-B4AC-778198535DF8%7D&gp=812209 BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811021 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BDD5BD083-EF59-4812-A2C7-B716D730D18E%7D&gp=812209 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-08-14] FF Extension: (Поиск@Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-08-14] CHR StartupUrls: DFLTUSER -> "hxxp://mail.ru/cnt/10445?gp=820321" CHR NewTab: DFLTUSER -> Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html" S4 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys [X] 2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\Users\Все пользователи\IObit 2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\ProgramData\IObit ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {08A2A796-8BC9-4C44-B3A6-405C57FD10B4} - \DealPly -> No File <==== ATTENTION Task: {0ADCE679-89CD-497E-9D6E-41A963320463} - System32\Tasks\Appdistribute Updater Task => C:\Program Files\Common Files\Distribute Application\downloader.exe Task: {83F1896A-3C03-41B2-A540-A6EA64972B76} - \Safebrowser -> No File <==== ATTENTION Task: {9BD00770-C8C4-4E22-AA19-007AA618F210} - \Yahoo! Search Udpater -> No File <==== ATTENTION Task: {E160329C-DBC3-4FF0-8C18-23DA2D48C02E} - \Yahoo! Search -> No File <==== ATTENTION Task: {E22C7377-A7EA-4402-9E1D-F92C8FCACEE3} - System32\Tasks\ASC8_SkipUac_vladivanych => D:\Program Files\IObit\Advanced SystemCare 8\ASC.exe AlternateDataStreams: C:\Users\vladivanych\Local Settings:wa [146] AlternateDataStreams: C:\Users\vladivanych\AppData\Local:wa [146] AlternateDataStreams: C:\Users\vladivanych\AppData\Local\Application Data:wa [146] FirewallRules: [mediaget-tcp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [mediaget-udp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 2 октября, 2017 пользователем Sandor
Sandor Опубликовано 2 октября, 2017 Опубликовано 2 октября, 2017 Сообщите что с проблемой. И проверьте, пожалуйста, есть ли ярлыки стандартных программ типа Wordpad, Гаджеты и т.п.? Если есть, нормально ли запускаются?
VladIvanych Опубликовано 2 октября, 2017 Автор Опубликовано 2 октября, 2017 Удалены куки, вся история браузера удалена. Предупреждение об угрозе весит Ярлыки стандартных программ Paint, блокнот есть. WordPad -нет. Был ли он ранее не помню, не пользовался.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти