Warlocheg 0 Опубликовано 25 ноября, 2017 Share Опубликовано 25 ноября, 2017 Привет, установил Kaspersky internet security и при выполнении полной проверки получил сообщение о зараженном установочном файле, который я установил несколько дней назад. Стоявший на тот момент антивирус ничего не обнаружил. Хотя большинство антивирусов на virustotal ничего не обнаруживают, тип вируса вызывает серьезные опасения, поэтому решил обратиться за помощью к вам. ссылка на файл: анализ virustotal: https://www.virustotal.com/#/file/b39549c012e6e737393d82e58c33b15cd1e09b2e7e28b6df102e6c900824c151/detection Сообщение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 25 ноября, 2017 Share Опубликовано 25 ноября, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Warlocheg 0 Опубликовано 25 ноября, 2017 Автор Share Опубликовано 25 ноября, 2017 (изменено) Кажется, после правки модератора логи удалились, прикрепляю повторно. Up: спасибо CollectionLog-2017.11.25-11.58.zip Изменено 25 ноября, 2017 пользователем Warlocheg Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 25 ноября, 2017 Share Опубликовано 25 ноября, 2017 @Warlocheg, логов не было. Нужно нажимать кнопку "Загрузить" Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 ноября, 2017 Share Опубликовано 25 ноября, 2017 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\winstart.bat', ''); DeleteFile('C:\Windows\winstart.bat', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(10); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [Google Update] C:\Users\Warlok\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateCore.exe (file missing) O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^eBoostr Control Panel.lnk - C:\Program Files (x86)\eBoostr\eBoostrCP.exe (2012/10/19) (file missing) O4 - MSConfig\startupfolder: C:^Users^Warlok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PhenomMsrTweaker.lnk - C:\Users\Warlok\AppData\Roaming\Microsoft\Installer\{2CD600E3-55E9-47B3-9611-6FE0ECC04BF9}\_8E51C3A943DF24BC750526.exe (2013/04/20) (file missing) O4 - MSConfig\startupfolder: C:^Users^Warlok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_11671853.lnk - C:\TEMP\_uninst_11671853.bat (2014/06/15) (file missing) O4 - MSConfig\startupreg: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (file missing) (HKLM) (2013/12/31) O4 - MSConfig\startupreg: [Acronis Scheduler2 Service] c:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (file missing) (HKLM) (2013/10/19) O4 - MSConfig\startupreg: [AcronisTibMounterMonitor] c:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe (file missing) (HKLM) (2013/10/19) O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\Warlok\AppData\Local\Akamai\netsession_win.exe (file missing) (HKCU) (2013/02/25) O4 - MSConfig\startupreg: [Appset Update] C:\Users\Warlok\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe /startscheduler (file missing) (HKCU) (2013/10/19) O4 - MSConfig\startupreg: [Download Master] C:\Program Files (x86)\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2012/12/19) O4 - MSConfig\startupreg: [F.lux] C:\Users\Warlok\Local Settings\Apps\F.lux\flux.exe /noshow (file missing) (HKCU) (2011/08/21) O4 - MSConfig\startupreg: [GarenaPlus] C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2013/11/29) O4 - MSConfig\startupreg: [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (file missing) (HKCU) (2012/12/19) O4 - MSConfig\startupreg: [OscarEditor] C:\Program Files (x86)\GXStandard16-in-1\GXStandard16in1.exe Minimum (file missing) (HKCU) (2014/01/09) O4 - MSConfig\startupreg: [Samsung Link] D:\Samsung Link\Samsung Link Tray Agent.exe (file missing) (HKLM) (2014/06/15) O4 - MSConfig\startupreg: [SsdReady] C:\Windows\system32\ssdready.exe (file missing) (HKCU) (2013/10/19) O4 - MSConfig\startupreg: [StartCCC] D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun (file missing) (HKLM) (2013/02/28) O4 - MSConfig\startupreg: [TrueImageMonitor.exe] c:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (file missing) (HKLM) (2013/10/19) O4 - MSConfig\startupreg: [avichannel] D:\Program Files (x86)\Evaer\videochannel.exe (file missing) (HKCU) (2016/08/21) O4 - MSConfig\startupreg: [iTunesHelper] D:\Program Files (x86)\iTunes\iTunesHelper.exe (file missing) (HKLM) (2013/12/31) O4 - MSConfig\startupreg: [join.me.launcher] C:\Users\Warlok\AppData\Local\join.me.launcher\join.me.launcher.exe (file missing) (HKCU) (2016/08/21) O22 - Task (Ready): MSIAfterburner - D:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (file missing) O22 - Task (Ready): Opera scheduled Autoupdate 1494438175 - C:\Program Files\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Изменено 25 ноября, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Warlocheg 0 Опубликовано 25 ноября, 2017 Автор Share Опубликовано 25 ноября, 2017 (изменено) 1)https://virusinfo.info/virusdetector/report.php?md5=75C3325B712A6280FB7FC10089363BCA2)Re: newvirus [KLAN-7223153719] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: winstart.bat Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.3) отчет прикрепил4) пофиксил5) новый лог прикрепил ClearLNK-25.11.2017_13-43.log CollectionLog-2017.11.25-13.48.zip Изменено 25 ноября, 2017 пользователем Warlocheg Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 ноября, 2017 Share Опубликовано 25 ноября, 2017 (изменено) 1) У вас стоит Kaspersky Internet Security и COMODO Firewall. Если уж так хотели сторонний файрволл, то надо было ставить хотя бы KAV. + у вас дефендер включён, наверняка это всё между собой конфликтует AV: Kaspersky Internet SecurityFW: COMODO Firewall (отключено)FW: Kaspersky Internet SecurityAS: COMODO Advanced Protection (отключено)AS: Kaspersky Internet SecurityAS: Windows Defender + к этому ещё MBAM.... так что советую пересмотреть это. Только это уже обсуждение не для этого раздела. 2) И раз Malwarebytes уже установлен, то сделайте и прикрепите лог полного сканирования. 3) папку C:\Windows\system32\tasks\ заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС. Изменено 25 ноября, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Warlocheg 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 прикрепил, отправил mwlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2017 Share Опубликовано 26 ноября, 2017 Если программы/расширения от Mail.ru не используете, то удалите в MBAM всё найденное. Активного заражения не видно. Ложное срабатывание или нет? с этим вопросом обратитесь к вирусным аналитикам в вирлаб, через тех. поддержку. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 ноября, 2017 Share Опубликовано 26 ноября, 2017 + можете приложить экспорт ветки реестра? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache Цитата Ссылка на сообщение Поделиться на другие сайты
Warlocheg 0 Опубликовано 26 ноября, 2017 Автор Share Опубликовано 26 ноября, 2017 Спасибо . Ветку приложил taskshedule.rar Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 ноября, 2017 Share Опубликовано 27 ноября, 2017 MBAM деинсталируйте. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.