Mart1z 0 Опубликовано 14 декабря, 2017 Share Опубликовано 14 декабря, 2017 avz показал много файлов, которых я ранее не видел и они обновляются каждый день, не уверен, что они системные. Путь: ..\AppData\Local\Temp Папки: _MEI87802 и _MEI93722 Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 700 Опубликовано 14 декабря, 2017 Share Опубликовано 14 декабря, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 14 декабря, 2017 Автор Share Опубликовано 14 декабря, 2017 @Mark D. Pearlstone, Ничего не понял, я же прикрепил лог. Ясно, надо было нажать Загрузить, я думал оно загрузить после нажатия Отправить. CollectionLog-2017.12.14-17.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 декабря, 2017 Share Опубликовано 14 декабря, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\Windows NT\Accessories\task.exe', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis:O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing) O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing) O22 - Task: (disabled) CAM - C:\Program Files (x86)\NZXT\CAM\CAM_V3.exe (file missing) O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing) WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}деинсталийте.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. + Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы. Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 14 декабря, 2017 Автор Share Опубликовано 14 декабря, 2017 WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}деинсталийте. Удалить? Как удалить? https://virusinfo.info/virusdetector/report.php?md5=BC78BEFBE898976BAE9C95F3FDE24488KLAN-7344322173Пофиксил, с этим WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F} не понял что делать. AutorunsVTchecker запускал. CollectionLog-2017.12.14-20.24.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 декабря, 2017 Share Опубликовано 14 декабря, 2017 Удалить? Как удалить? через установку и удаление программ. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) где ответ? Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 14 декабря, 2017 Автор Share Опубликовано 14 декабря, 2017 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:quarantine.zipФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 декабря, 2017 Share Опубликовано 14 декабря, 2017 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 14 декабря, 2017 Автор Share Опубликовано 14 декабря, 2017 Прикрепил. BOX_2017-12-14_23-30-02.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 декабря, 2017 Share Опубликовано 15 декабря, 2017 Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.Подробнее читайте в руководстве. + Нажмите Win + R, введите powershell и нажимите ОК. Вставьте такую строку в окно и подтвердите клавишей ENTER: gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber >desktop\sn.txt Файл sn.txt с рабочего стола прикрепите к вашему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 15 декабря, 2017 Автор Share Опубликовано 15 декабря, 2017 Прикрепил. scan.txt sn.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 декабря, 2017 Share Опубликовано 15 декабря, 2017 1) MBAM деинсталируйте. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG deltmp zoo F:\STEAM\STEAMAPPS\COMMON\THIS WAR OF MINE\THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE ;---------command-block--------- zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3 delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3 delref "%SYSTEMDRIVE%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE" -COMMAND "FUNCTION DEC([BYTE[]]$CB, [STRING]$PASS){$PB = [SYSTEM.TEXT.ENCODING]::UTF8.GETBYTES($PASS);$S = $PB[0];$J=0;FOR($I = 0; $I -LT $CB.COUNT; $I++){IF($J -GE $PB.COUNT){$J=0} $S = (23 -BAND $S -BOR 152) -BXOR $S;$CB[$I] = $CB[$I] -BXOR $PB[$J] -BXOR $S;$J++}RETURN $CB;}$OBJ = GWMI WIN32_DISKDRIVE | WHERE {$_.DEVICEID -EQ '\\.\PHYSICALDRIVE0'} | SELECT MODEL, SERIALNUMBER;$D = DEC ([SYSTEM.CONVERT]::FROMBASE64STRING('V1IFHP0C9RPSQPQDVJVJQ6A7PUUREDTDJR7IIZFL6G6HPQMOLG6ZCZU26USKVS1AZGT+LFWYGFURTBXRPUUREC9YJR7IIBR+5NF3FE1GZE/ORDHP8L/BTMPNJZ7PI7PEWL/YJ/FSSUSGFCIPMQRIQOLH8HVMDO4IKBXRUMM bl 65D86C34814C02569E2AD53FD24E7F61 431616 zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref I:\AUTORUN0.EXE apply regt 28 regt 29 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 3) Сделайте свежие лог по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 15 декабря, 2017 Автор Share Опубликовано 15 декабря, 2017 KLAN-7353442366Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3.---.txtTASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EETASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EE.txtTHIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763.txtВ следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. CollectionLog-2017.12.15-23.55.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 16 декабря, 2017 Share Опубликовано 16 декабря, 2017 Что с проблемой? В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN: THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.Generic Если не уверены в данном файле, то лучше его удалите. А если уверены, то отправьте через https://virusdesk.kaspersky.ru/ как ложное срабатывание. А если есть лицензия на касперского, то лучше через личный кабинет, тогда гарантированно получите ответ опасен или нет этот файл. Цитата Ссылка на сообщение Поделиться на другие сайты
Mart1z 0 Опубликовано 17 декабря, 2017 Автор Share Опубликовано 17 декабря, 2017 Anti-virus Lab replies to your request [VD3][FILE:2][LN:ru] [KLAN-7359392078]Здравствуйте,Это было ошибочное срабатывание.Оно будет исправлено.Благодарим Вас за помощь.С уважением,Рассохин Кирилл, Вирусный аналитик, АО "Лаборатория Касперского" Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.