Sandor 1 254 Опубликовано 9 января, 2018 Share Опубликовано 9 января, 2018 одному прав не хватает, а второму - файл msi какой-то битыйУдалите форсировано, через Revo Uninstall, например. Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 9 января, 2018 Автор Share Опубликовано 9 января, 2018 Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. отправил архив, остальное в процессе. одному прав не хватает, а второму - файл msi какой-то битыйУдалите форсировано, через Revo Uninstall, например. удалил, все ок с этим. занимаюсь дальше. а вот и логи СЕРГЕЙ-ПК_2018-01-09_15-35-53.7z AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 января, 2018 Share Опубликовано 9 января, 2018 1) C:\PROGRAM FILES\AVEST\MINIHTTP HTTP минисервер 1.2 - эта программа вам знакома? 2) C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE\TDGET.EXE вам знакомо? 3) Хвосты от Kaspersky Internet Security 2011 и Kaspersky Internet Security 2012 удалите с помощью https://support.kaspersky.ru/1464 4) Сделайте свежие логи Автологером. Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 9 января, 2018 Автор Share Опубликовано 9 января, 2018 (изменено) 1. да, это нужное. 2. удалил.3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0 4. логи прикрепил CollectionLog-2018.01.09-17.21.zip Изменено 9 января, 2018 пользователем imediaby Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 января, 2018 Share Опубликовано 9 января, 2018 1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. 2) "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms} O4 - MSConfig\startupreg: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe /startup (file missing) (HKLM) (2013/01/24) O4 - MSConfig\startupreg: [Skype] C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (file missing) (HKCU) (2013/04/29) O8 - HKCU\..\Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm (file missing) O9 - Extra button: &Виртуальная клавиатура - HKLM\..\{4248FE82-7FCB-46AC-B270-339F08212110} - (no file) O9 - Extra button: (no name) - HKLM\..\{53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - HKLM\..\{925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Проверка ссы&лок - HKLM\..\{CCF151D8-D089-449F-A5A4-D9909053F20F} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O22 - Task: (disabled) {1702C826-0C9A-41E6-9A4B-A9B0592EFA24} - C:\Program Files\Skype\Phone\Skype.exe (file missing) 3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0 У вас и в списке установленных должны быть Kaspersky Internet Security 2011 [2018/01/03 10:17:03]-->MsiExec.exe /I{66F1F013-008F-4875-B283-5A814B820347} Kaspersky Internet Security 2012 [2018/01/03 10:17:03]-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0} REMOVEALLDATA=No SAVESETTINGS="" попробуйте через установку и удаление программ деинсталировать. Вдруг получится. Если нет, то в конце попробуем удалить полностью касперского и зачистить следы. 4) Сделайте свежие логи Автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 9 января, 2018 Автор Share Опубликовано 9 января, 2018 1. готово, вот лог - https://24.imediasolutions.ru/~lo7Pb2. готово3. готово, удалил с помощью Revo Uninstall 4. во вложении CollectionLog-2018.01.09-18.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2018 Share Опубликовано 10 января, 2018 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v400c BREG dirzooex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)Если архив отсутствует, то заархивруйте папку ZOOс паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Затем свежий лог uVS сделайте. + свежий лог AdwCleaner-а. Изменено 10 января, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 10 января, 2018 Автор Share Опубликовано 10 января, 2018 (изменено) скрипт в uVS запустил, он отработал и перегрузил компьютер. архив не создался, папка ZOO также пустая. Возможно потому что эту папку я удалил еще вчера руками. Тем не менее есть лог файл проверки, его прикрепил.Сделал свежий лог uVS, прикрепил.Лог AdwCleaner прикрепил также его.AdwCleaner нашел кстати 4 элемента, чистить это? 2018-01-10_10-01-27_log.txt СЕРГЕЙ-ПК_2018-01-10_10-16-00.7z AdwCleanerS2.txt Изменено 10 января, 2018 пользователем imediaby Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2018 Share Опубликовано 10 января, 2018 эту папку я удалил еще вчера руками. напрасно, при этом хвосты в реестре вы же не почистили. BelInfoNet Ltd. - это ваш провайдер? программа там не видит ничего лишнего кроме того что стоит сейчас Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново. Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 10 января, 2018 Автор Share Опубликовано 10 января, 2018 BelInfoNet Ltd. - это ваш провайдер? да. Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново. не совсем понял чем удалить хвосты? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2018 Share Опубликовано 10 января, 2018 с помощью https://support.kaspersky.ru/1464 Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 10 января, 2018 Автор Share Опубликовано 10 января, 2018 все удалил, хвостов нет. свежий лог uVS во вложении. СЕРГЕЙ-ПК_2018-01-10_13-31-39.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2018 Share Опубликовано 10 января, 2018 хвостов нет. Да, теперь порядок. Установите актуальную версию антивируса и остальные программы если нужны. Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
imediaby 0 Опубликовано 10 января, 2018 Автор Share Опубликовано 10 января, 2018 визуально все в порядке. попапов нет в браузерах, ничего не беспокоит )По логам все ок? Все почистили? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2018 Share Опубликовано 10 января, 2018 (изменено) По логам все ок? Все почистили? да. В AdwCleaner только остатки дочистите Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. после чего Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. + Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. Изменено 10 января, 2018 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.