zet Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 (изменено) Здравствуйте. Имеется абсолютно идентичная проблема как у создателя этой ветки. Вирус подменяет файлы на свой zip архив не только при работе с почтой, но и при скачивании файлов с различных ресурсов, происходит это не при каждом скачивании, но довольно часто. В гугл почте перестала функционировать возможность скачать прикрепленный файл, при нажатии на значок скачивания - ничего не происходит. Сообщение от модератора Mark D. Pearlstone Перемещено из темы Изменено 11 ноября, 2017 пользователем zet Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
zet Опубликовано 11 ноября, 2017 Автор Share Опубликовано 11 ноября, 2017 (изменено) логи не прикрепляются... CollectionLog-2017.11.11-21.15.zip Изменено 11 ноября, 2017 пользователем zet Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Кракла\appdata\roaming\system\libs\svchost.exe',''); TerminateProcessByName('c:\users\Кракла\appdata\local\yc\application\yc.exe'); DeleteFile('c:\users\Кракла\appdata\local\yc\application\yc.exe','32'); DeleteFile('C:\Users\Кракла\AppData\Local\yc\Application\61.0.3163.100\chrome.dll','32'); DeleteFile('C:\Users\Кракла\AppData\Local\yc\Application\61.0.3163.100\chrome_child.dll','32'); DeleteFile('C:\Users\Кракла\AppData\Local\yc\Application\61.0.3163.100\chrome_elf.dll','32'); DeleteFile('C:\Users\Кракла\AppData\Local\yc\Application\61.0.3163.100\libegl.dll','32'); DeleteFile('C:\Users\Кракла\AppData\Local\yc\Application\61.0.3163.100\libglesv2.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_B1C5E0178D8EA0373E8A6843265DECC0'); DeleteFile('C:\Users\Кракла\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Кракла\AppData\Local\fupdate\fupdate.exe','32'); DeleteFile('C:\Windows\system32\Tasks\fupdate','64'); DeleteFile('C:\Users\Кракла\appdata\roaming\system\libs\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите в HiJack из папки Autologger O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 178.132.6.57 O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 192.168.0.1 O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 193.238.153.54 O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 52.56.51.39 O17 - HKLM\System\CSS\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 192.168.0.1 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 192.168.0.1 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C6C8A68B-B542-45AC-BC87-7F415AFCD83C}: NameServer = 82.202.226.203 Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
zet Опубликовано 12 ноября, 2017 Автор Share Опубликовано 12 ноября, 2017 KLAN-7127964767 Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:quarantine.zipWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700http://www.kaspersky.com https://www.securelist.com" CollectionLog-2017.11.12-11.33.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 12 ноября, 2017 Share Опубликовано 12 ноября, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
zet Опубликовано 13 ноября, 2017 Автор Share Опубликовано 13 ноября, 2017 Проблема решена, спасибо! Desktop.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 13 ноября, 2017 Share Опубликовано 13 ноября, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicy: Restriction - Chrome <==== ATTENTION c:\users\Кракла\appdata\local\yc 2016-09-18 19:16 - 2016-09-18 19:16 - 000000276 _____ () C:\Users\Кракла\AppData\Local\expand.ini CustomCLSID: HKU\S-1-5-21-4113962139-209371290-3914952005-1000_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\Кракла\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => No File CustomCLSID: HKU\S-1-5-21-4113962139-209371290-3914952005-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Кракла\AppData\Local\Microsoft\OneDrive\17.3.7114.1106\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-4113962139-209371290-3914952005-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Кракла\AppData\Local\Microsoft\OneDrive\17.3.7114.1106\amd64\FileSyncShell64.dll => No File CustomCLSID: HKU\S-1-5-21-4113962139-209371290-3914952005-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Кракла\AppData\Local\Microsoft\OneDrive\17.3.7114.1106\amd64\FileSyncShell64.dll => No File ContextMenuHandlers1: [Balabolka] -> {6CB83A5A-AA68-4895-9F54-175E789AE149} => -> No File Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
zet Опубликовано 14 ноября, 2017 Автор Share Опубликовано 14 ноября, 2017 сделано Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 ноября, 2017 Share Опубликовано 14 ноября, 2017 Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти