Перейти к содержанию

программа слежения


Жанна1

Рекомендуемые сообщения

Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения.


просьба помочь. Файлы приложены.


AVZ_sysinfo_2.rar

Ссылка на комментарий
Поделиться на другие сайты

 

Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения.

просьба помочь. Файлы приложены.

 

Отчет прикреплен.

CollectionLog-2017.10.08-00.07.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты

 

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

лог AdwCleaner

AdwCleanerS01.txt

Ссылка на комментарий
Поделиться на другие сайты


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

 

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\WINDOWS\runkey.exe');
 QuarantineFile('C:\WINDOWS\runkey.exe','');
 DeleteFile('C:\WINDOWS\runkey.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

Тема: Re: Запрос на исследование вредоносного файла [KLAN-6949099235]

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

runkey.exe

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем

Ссылка на комментарий
Поделиться на другие сайты

Согласно анализу virustotal.com - как раз указанное ПО логирует нажатие клавишь - not-a-virus:Monitor.Win32.KeyLogger.eah

 

Где отчет удаление ADwCleaner?

 

AdwCleanerC0.txt

AdwCleanerC1.txt

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [kbdsprt] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found]
    FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
    CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
    CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX"
    CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> sweet-page
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
    Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
    Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
    Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION
    Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
    Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
    AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


 

Ссылка на комментарий
Поделиться на другие сайты

 

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [kbdsprt] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
    FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found]
    FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found
    CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX
    CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX"
    CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> sweet-page
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File
    Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
    Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
    Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
    Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
    Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
    Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
    Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
    Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
    Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
    Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
    Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION
    Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
    Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
    Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
    Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
    Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
    Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
    AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...