Жанна1 Опубликовано 4 октября, 2017 Опубликовано 4 октября, 2017 Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения. просьба помочь. Файлы приложены. AVZ_sysinfo_2.rar
Жанна1 Опубликовано 7 октября, 2017 Автор Опубликовано 7 октября, 2017 Добрый день, есть подозрения на наличие в компьютере вредоносных файлов или программ слежения. просьба помочь. Файлы приложены. Отчет прикреплен. CollectionLog-2017.10.08-00.07.zip
SQ Опубликовано 7 октября, 2017 Опубликовано 7 октября, 2017 Здравствуйте,AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\WINDOWS\runkey.exe'); QuarantineFile('C:\WINDOWS\runkey.exe',''); DeleteFile('C:\WINDOWS\runkey.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Жанна1 Опубликовано 8 октября, 2017 Автор Опубликовано 8 октября, 2017 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\WINDOWS\runkey.exe'); QuarantineFile('C:\WINDOWS\runkey.exe',''); DeleteFile('C:\WINDOWS\runkey.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) - Подготовьте лог AdwCleaner и приложите его в теме. лог AdwCleaner AdwCleanerS01.txt
SQ Опубликовано 8 октября, 2017 Опубликовано 8 октября, 2017 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Жанна1 Опубликовано 9 октября, 2017 Автор Опубликовано 9 октября, 2017 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\WINDOWS\runkey.exe'); QuarantineFile('C:\WINDOWS\runkey.exe',''); DeleteFile('C:\WINDOWS\runkey.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) - Подготовьте лог AdwCleaner и приложите его в теме. Тема: Re: Запрос на исследование вредоносного файла [KLAN-6949099235] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: runkey.exe Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем
SQ Опубликовано 9 октября, 2017 Опубликовано 9 октября, 2017 Согласно анализу virustotal.com - как раз указанное ПО логирует нажатие клавишь - not-a-virus:Monitor.Win32.KeyLogger.eahГде отчет удаление ADwCleaner?
Жанна1 Опубликовано 9 октября, 2017 Автор Опубликовано 9 октября, 2017 Согласно анализу virustotal.com - как раз указанное ПО логирует нажатие клавишь - not-a-virus:Monitor.Win32.KeyLogger.eah Где отчет удаление ADwCleaner? AdwCleanerC0.txt AdwCleanerC1.txt
SQ Опубликовано 9 октября, 2017 Опубликовано 9 октября, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Жанна1 Опубликовано 10 октября, 2017 Автор Опубликовано 10 октября, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Addition.txt FRST.txt
SQ Опубликовано 10 октября, 2017 Опубликовано 10 октября, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [kbdsprt] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found] FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found] FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found] FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX" CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms} CHR DefaultSearchKeyword: Default -> sweet-page CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151] AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136] AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151] AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Жанна1 Опубликовано 11 октября, 2017 Автор Опубликовано 11 октября, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [kbdsprt] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> sweet-page FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.sweet-page.com/?type=hppp&ts=1400519758&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found] FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found] FF Extension: (No Name) - C:\Users\AndreyV567\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\quick_start@gmail.com [not found] FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1402682149&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX" CHR DefaultSearchURL: Default -> hxxp://www.sweet-page.com/web/?type=dspp&ts=1403354769&from=cor&uid=HGSTXHTS541010A9E680_JD10001V0MPN9A0MPN9AX&q={searchTerms} CHR DefaultSearchKeyword: Default -> sweet-page CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-2828037130-977638985-3434782027-1002_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\AndreyV567\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => No File Task: {0CD0846F-FB32-47F9-90A3-60527E4A42C5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {0E9C2C7D-3A2E-4144-BBB9-B4B3311F17D1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {0EA34B49-0142-4F08-9F06-43D568ACFD04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {0FFE88A4-A292-4BF7-91AD-A3B2A44092E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {1379F941-9F94-4333-961C-5B89BDF72E54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION Task: {551CDA24-139E-4A5B-8D74-14AEC584C43F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {596860CA-161D-4147-BDFA-83775048832C} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION Task: {5D873896-6423-4F6B-8284-EAC0355F9AB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {6AF6FD3C-A300-4EA4-994B-3D1078D5BEA1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {6E9D57FA-E891-4C20-840B-5EE592FC1F72} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {722F975A-5F5C-4AB6-923D-EF382225D1FD} - \WPD\SqmUpload_S-1-5-21-2828037130-977638985-3434782027-1002 -> No File <==== ATTENTION Task: {749F5869-9E65-47EA-B122-7218A5E70685} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {7FB32010-5037-496F-A7BB-486EF1F41F47} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {AA7E95BD-B1D4-4BE8-9130-A0EA6321BF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {B9A2977C-859C-4B93-93B4-97667525FFF8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {E8D308AC-0AF5-417B-871F-14E6C281CE98} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION Task: {F66C78CF-D350-49AD-9BA5-BCE129818488} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151] AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136] AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151] AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Fixlog.txt
SQ Опубликовано 11 октября, 2017 Опубликовано 11 октября, 2017 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
Жанна1 Опубликовано 12 октября, 2017 Автор Опубликовано 12 октября, 2017 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. 2017-10-12_23-12-18.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти