Илья Махаев 0 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 (изменено) Здравствуйте. Вчера скачал торрент файл, который оказался вредоносным ПО. Теперь реклама Вулкан и иже с ним в браузере Опера наше все. Пробовал и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, но проблему это не решило. В Хроме теперь главная Mail, от него же и поиск. Запускал как написано AutoLogger, но никакого архива так и не получилось почему-то. Прикрепляю, то что сохранил AutoLogger. Я ламер, полнейший ламер. Помогите пожалуйста log.txt info.txt Изменено 5 декабря, 2017 пользователем Илья Махаев Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 Здравствуйте! Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 Здравствуйте! Выполните скрипт в AVZ (...\Autologger\AVZ\avz.exe) (Файл - Выполнить скрипт): архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Здравствуйте. Прикрепляю Report.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 @Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe.Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 (изменено) @Илья Махаев, можете зайти в папку C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\ - запустить там avz.exe. Нажать Файл - Стандартные скрипты - отметить скрипт №2 - нажать выполнить отмеченные скрипты. Подождать окончания работы и сообщить о результате. Вы это имели в виду? По пути C:\Users\Зоя\Desktop\AutoLogger\AutoLogger\AVZ\LOG есть еще архив, который прикрепляю Протокол антивирусной утилиты AVZ версии 4.46 Сканирование запущено в 05.12.2017 15:05:50 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.12.2017 04:00 Загружены микропрограммы эвристики: 410 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 915403 Режим эвристического анализатора: Максимальный уровень эвристики Режим лечения: выключено Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional", дата инсталляции 30.06.2015 03:50:10 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72A01068] Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72A01170] Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 11 Количество загруженных модулей: 303 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) Проверка отключена пользователем 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка настройки поиска IE через Policies [x64] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}" Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02" Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02" Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463" Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}" Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}" Проверка настройки поиска IE через Policies [x32] HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}" Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURL="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02" Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, TopResultURLFallback="http://www.bing.com/search?q={searchTerms}&src=IE-TopResult&FORM=IETR02" Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8}, SuggestionsURL_JSON="https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2261463" Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F4137D40-259A-4FB3-B780-F8C39B303C41}, SuggestionsURLFallback="http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}" Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}, SuggestionsURL="http://suggests.go.mail.ru/ie8?q={SearchTerms}" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 315, извлечено из архивов: 1, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 05.12.2017 15:07:53 Сканирование длилось 00:02:09 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ Выполняется исследование системы Диагностика сети DNS and Ping test Host="yandex.ru", IP="5.255.255.5,5.255.255.55,77.88.55.66,77.88.55.55", Ping=OK (0,4,5.255.255.5) Host="google.ru", IP="173.194.222.94", Ping=OK (0,15,173.194.222.94) Host="google.com", IP="173.194.222.139,173.194.222.101,173.194.222.138,173.194.222.113,173.194.222.102,173.194.222.100", Ping=OK (0,16,173.194.222.139) Host="www.kaspersky.com", IP="77.74.178.16", Ping=OK (0,5,77.74.178.16) Host="www.kaspersky.ru", IP="93.159.228.19", Ping=Error (11010,0,0.0.0.0) Host="dnl-03.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,2,95.167.139.6) Host="dnl-11.geo.kaspersky.com", IP="62.128.100.81", Ping=OK (0,2,62.128.100.81) Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,3,212.5.89.37) Host="odnoklassniki.ru", IP="5.61.23.11,217.20.147.1,217.20.155.13", Ping=OK (0,4,5.61.23.11) Host="vk.com", IP="95.213.11.181,87.240.165.80", Ping=OK (0,13,95.213.11.181) Host="vkontakte.ru", IP="95.213.4.228,95.213.4.229", Ping=OK (0,10,95.213.4.228) Host="twitter.com", IP="104.244.42.129,104.244.42.65", Ping=OK (0,52,104.244.42.129) Host="facebook.com", IP="31.13.72.36", Ping=OK (0,19,31.13.72.36) Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,20,31.13.72.8) Network IE settings IE setting AutoConfigURL= IE setting AutoConfigProxy=wininet.dll IE setting ProxyOverride= IE setting ProxyServer= IE setting Internet\ManualProxies= Network TCP/IP settings Network Persistent Routes Исследование системы завершено virusinfo_syscheck.zip Изменено 5 декабря, 2017 пользователем Илья Махаев Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip Прикрепите его к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 Нет. Должна появиться папка Log и в ней архив virusinfo_syscheck.zip Прикрепите его к следующему сообщению. Прикрепляю. virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', ''); QuarantineFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', ''); ExecuteFile('schtasks.exe', '/delete /TN "IwYbepbbZTLX" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TeADNJTplrau" /F', 0, 15000, true); DeleteFile('C:\Users\Зоя\AppData\Local\KJovOrOb.bat', '32'); DeleteFile('C:\Users\Зоя\AppData\Local\uXxDL.bat', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Логи повторил, архив прикрепляю. Письмо отправил, пока ответ не пришел CollectionLog-2017.12.05-15.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. пока ответ не пришел[KLAN-7276417380] Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 (изменено) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.пока ответ не пришел[KLAN-7276417380] Сделал. Отчет прикрепляю. AdwCleanerS0.txt Изменено 5 декабря, 2017 пользователем Илья Махаев Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Прикрепите отчет к своему следующему сообщению 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Выполнил. Прикрепляю AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 декабря, 2017 Share Опубликовано 5 декабря, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03] CHR HomePage: Default -> mail.ru CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141" CHR NewTab: Default -> Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142 CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Махаев 0 Опубликовано 5 декабря, 2017 Автор Share Опубликовано 5 декабря, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Toolbar: HKU\S-1-5-21-2517341480-1869546175-1453338083-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF user.js: detected! => C:\Users\Зоя\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-02-03] CHR HomePage: Default -> mail.ru CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141" CHR NewTab: Default -> Active:"chrome-extension://lhemechcanjmilllmccjbjldonmnnjjj/visual-bookmarks.html" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5188B8CE-F3AC-459C-971A-2A55FEA5E5AC%7D&gp=811142 CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} Task: {978A0321-104C-4105-8AB1-B946216F9BB7} - \newsupforucomzdjkzigqzxs -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Прикрепляю. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.