Проверка

11 ноября, 2017

Посмотрите есть ли что вредоносное в системе, помогите удалить остатки от pdf x-change или x-pdf change (название точно не помню)

CollectionLog-2017.11.11-12.28.zip

11 ноября, 2017

1) Вирусов нет. Логи с отключённым интернетом делались?

2)

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk

удалите либо вручную, либо исправьте с помощью утилиты ClearLNK эти ярлыки, отчёт о работе прикрепите:

3)

удалить остатки от pdf x-change или x-pdf change (название точно не помню)

Похоже PDF-XChange

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DelCLSID('{67EB453C-1BE1-48EC-AAF3-23B10277FCC1}');
 DelCLSID('{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583}');
 DelCLSID('{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8}');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

4)

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 11 ноября, 2017 пользователем regist

11 ноября, 2017

1) да, все операции при которых требуется отключать антивирус, делаю с отключеным инетом.

2) удалил вручную

3) выполнил.

4) лог прилагаю

Еще вопрос есть - в логе hijack увидел строчку

O16-32 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1463568625268

По ссылке скачал файл, для чего он?

PC_2017-11-11_15-48-22.7z

Изменено 11 ноября, 2017 пользователем ska79

11 ноября, 2017

По ссылке скачал файл, для чего он?

Вопросы для чего какой файл винды используется лучше задавать в соседнем разделе.

Выполните скрипт в uVS

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_10999\EXTENSION_7.CRX
delall %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6852_10999\EXTENSION_7.CRX
zoo %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5464_11427\553_ALL_STHSET.CRX3
delall %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5464_11427\553_ALL_STHSET.CRX3
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
apply
czoo
restart

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

11 ноября, 2017

Спасибо доктор ) на этом всё? Нет нюансов удаления утилит использовавшихся в лечении? Папку uvs просто снести и всё?

11 ноября, 2017

Папку uvs просто снести и всё?

Да, этого достаточно.

Проверка

Рекомендуемые сообщения

ska79

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

ska79

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

ska79

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum