iValeriks Опубликовано 12 декабря, 2017 Опубликовано 12 декабря, 2017 trojan.multi.genautoruntask.bСобственно такая проблема, обнаружил, удалил, снова есть в компьютере.Прочитал у вас информацию что нужно индивидуально справляться с данным гадом.Просьба помочь Вас!Проследовал инструкции! CollectionLog-2017.12.13-01.46.zip
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 (изменено) Здравствуйте! Программы/расширения от Mail.ru используете?- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. WeatherForecaster - деинсталируйте.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true); DeleteFileMask('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*', true); DeleteDirectory('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WeatherForecaster'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. PS. Выполнять в том порядке, в котором написано. Изменено 13 декабря, 2017 пользователем regist
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 (изменено) Программы и расширения Mail.ru устанавливались совместно возможно с другими программами/играми. Ссылка "данной формы" [KLAN-7330072866]Файлы с логами прикрепил. 1 и 2. как сказано.Отчёт Adw прилагается. CollectionLog-2017.12.13-11.16.zip CollectionLog-2017.12.13-11.18.zip AdwCleanerS0.txt Изменено 13 декабря, 2017 пользователем iValeriks
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 1) One System Care - деинсталируйте. 2) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 3) "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [McAfeeSafeConnect] C:\Program Files (x86)\McAfee Safe Connect\McAfee Safe Connect.exe (file missing) O22 - Task: (disabled) OneDrive Standalone Update Task - C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe (file missing) O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 (изменено) 1) - Сделано2) - Сделано, файл прикреплен.3) 2/3 нашёл и "пофиксил" 3ий GameNet ненашёл. AdwCleanerC0.txt Изменено 13 декабря, 2017 пользователем iValeriks
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Готово! Addition.txt Shortcut.txt FRST.txt
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 1) Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X] FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600 FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy] FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05] FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.2) Деинсталийте bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden 3) Пожалуйста, сделайте экспорт ключа HKCU\Software\Microsoft\Internet Explorer\SearchScopes и прикрепите к сообщению.
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 1) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X] FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600 FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy] FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05] FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 2) Деинсталийте bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden 3) Пожалуйста, сделайте экспорт ключа HKCU\Software\Microsoft\Internet Explorer\SearchScopes и прикрепите к сообщению. Начиная со 2 пункта можно подробнее куда что. Не понимаю.. Fixlog.txt
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 2) надо зайти в панель управления - установленные программы. И деинсталировать указанные: bl, ph и если не нужен то и Google Update Helper. 3) Раз не знаете, как то делать, то сделаем по другому. Выполните в AVZ скрипт: begin ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt'); end.Файлы:SearchScopes.txt из папки AVZ прикрепите.
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 (изменено) 2) надо зайти в панель управления - установленные программы. И деинсталировать указанные: bl, ph и если не нужен то и Google Update Helper. 3) Раз не знаете, как то делать, то сделаем по другому. Выполните в AVZ скрипт: begin ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt'); end.Файлы: SearchScopes.txt из папки AVZ прикрепите. Готово что вы сказали, проделано. Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это? SearchScopes.txt Изменено 13 декабря, 2017 пользователем iValeriks
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это? Это на этом же компе или на другом? При переходе на любом сайте?В другом браузере проверяли?
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?Это на этом же компе или на другом? При переходе на любом сайте?В другом браузере проверяли? На этом же компе, фактически на любой сайт. В другом браузере не проверял.
regist Опубликовано 13 декабря, 2017 Опубликовано 13 декабря, 2017 Не надо каждый раз цитировать весь пост. Внизу есть поле для быстрого ответа. В другом браузере не проверял. Проверьте и отпишитесь .А лучше скачайте отсюда Оперу и проверьте проблему в ней. И что с проблемой из первого поста? Решена?
iValeriks Опубликовано 13 декабря, 2017 Автор Опубликовано 13 декабря, 2017 Проблема с 1 поста вроде не проявлялась больше.Спасибо за помощь. Запущу проверку полную попозже, отпишу конечный результат!По поводу Оперы сразу сообразил, всё выходит в порядке, посещение всех сайтов в норме!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти