Макс Ли 0 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Здравствуйте! Уже несколько недель происходит "спам" данными сообщениями. Недавно даже происходило блокирование проводника (Windows не удается получить доступ к выбранному файлу или папке.). CollectionLog-2017.11.09-08.39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\7654\service.exe'); StopService('7654Bao'); StopService('bd0004'); QuarantineFile('c:\programdata\7654\service.exe', ''); QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', ''); QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', ''); QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); QuarantineFile('C:\Windows\system32\drivers\7654JiHe.sys', ''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', ''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', ''); QuarantineFileF('c:\users\li\appdata\local\microsoft\extensions', '*', true, '', 0 , 0); ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "kbrowser-updater-utility" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true); DeleteFile('c:\programdata\7654\service.exe', '32'); DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '32'); DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '32'); DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFile('C:\Users\li\Favorites\Links\Интернет.url'); DeleteFile('C:\Windows\system32\drivers\7654JiHe.sys', '32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '32'); DeleteService('7654Bao'); DeleteService('7654JiHe'); DeleteService('bd0004'); DeleteService('BDMWrench'); DeleteFileMask('c:\users\li\appdata\local\microsoft\extensions', '*', true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\7654\service.exe'); StopService('7654Bao'); StopService('bd0004'); QuarantineFile('c:\programdata\7654\service.exe', ''); QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', ''); QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', ''); QuarantineFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); QuarantineFile('C:\Windows\system32\drivers\7654JiHe.sys', ''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', ''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', ''); QuarantineFileF('c:\users\li\appdata\local\microsoft\extensions', '*', true, '', 0 , 0); ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "kbrowser-updater-utility" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true); DeleteFile('c:\programdata\7654\service.exe', '32'); DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '32'); DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\extsetup.exe', '32'); DeleteFile('C:\Users\li\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFile('C:\Users\li\Favorites\Links\Интернет.url'); DeleteFile('C:\Windows\system32\drivers\7654JiHe.sys', '32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys', '32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys', '32'); DeleteService('7654Bao'); DeleteService('7654JiHe'); DeleteService('bd0004'); DeleteService('BDMWrench'); DeleteFileMask('c:\users\li\appdata\local\microsoft\extensions', '*', true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: service.exe kbrowser-updater-utility.exe 7654JiHe.sys 7654JiHe_0.sys bd0004.sys BDMWrench.sys Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ KLAN-7112052225 Изменено 9 ноября, 2017 пользователем Макс Ли Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Пожалуйста, не цитируйте полностью, используйте форму быстрого ответа внизу. Жду повторный CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 (изменено) / Вот. CollectionLog-2017.11.09-11.03.zip Изменено 9 ноября, 2017 пользователем Макс Ли Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 Есть AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 3. AdwCleanerC0.txt FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File FF user.js: detected! => C:\Users\li\AppData\Roaming\Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658\user.js [2015-10-28] FF DefaultSearchEngine: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> hxxp://mail.ru/cnt/10445?gp=802851 FF Keyword.URL: Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658 -> hxxp://go.mail.ru/distib/ep/?product_id=%7B50941FAE-9AAF-45D4-A71C-FB08ADA5922A%7D&gp=802861 FF Extension: (No Name) - C:\Users\li\AppData\Roaming\Mozilla\Firefox\Profiles\6frbibt6.default-1442336716658\Extensions\9a82-077c-bd0d-85f2 [2017-01-11] [not signed] FF Extension: (Word Proser) - C:\Program Files (x86)\Mozilla Firefox\extensions\{d9a96531-b093-4d07-9e4c-9704a365c441} [2015-08-28] [not signed] S2 BDSafeBrowser; C:\WINDOWS\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu) S1 bd0001; system32\DRIVERS\bd0001.sys [X] S2 BDArKit; system32\DRIVERS\BDArKit.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {B7E44B30-5297-455D-AD64-C2E30D8C348F} - \{223FC486-1765-4FDC-963A-35C5B4239686} -> No File <==== ATTENTION Task: {B815B007-03C3-4361-9792-952D4B1B81CA} - \{190A29C1-017F-49DB-942B-E8C73540026E} -> No File <==== ATTENTION HKU\S-1-5-21-2723891314-1644935320-574027773-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 4/ Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 Вроде пропала, но спамминг начинался в отдельные промежутки времени. Если до завтра ничего не будет, я отпишусь. Спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 9 ноября, 2017 Share Опубликовано 9 ноября, 2017 Проделайте завершающие шаги и понаблюдайте: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Макс Ли 0 Опубликовано 9 ноября, 2017 Автор Share Опубликовано 9 ноября, 2017 с SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.