lolich25 0 Опубликовано 15 января, 2018 Share Опубликовано 15 января, 2018 Привет. Проверил ноут утилитой касперского, adwcleaner. много чего удалилось. утилита каспер. находит троян в системной памяти, а удалить не может. логи ниже. CollectionLog-2018.01.15-15.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 15 января, 2018 Share Опубликовано 15 января, 2018 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', ''); QuarantineFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', ''); QuarantineFile('C:\ProgramData\AppriabuS\Bigtex.dll', ''); QuarantineFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', ''); QuarantineFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', ''); QuarantineFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', ''); ExecuteFile('schtasks.exe', '/delete /TN "{0224A2FE-B58F-1555-75A5-3A035CBEF1E9}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{82AA7228-3501-C583-E4BA-EBAD25F5FB31}" /F', 0, 15000, true); DeleteFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '32'); DeleteFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '32'); DeleteFile('C:\ProgramData\AppriabuS\Bigtex.dll', '32'); DeleteFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '32'); DeleteFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '32'); DeleteFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5ia9a8GGkjgX.exe', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wtrwll', 'command'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Прикрепите к следующему сообщению свежий CollectionLog. Изменено 15 января, 2018 пользователем Sandor 1 Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 15 января, 2018 Автор Share Опубликовано 15 января, 2018 KLAN-7523008024 CollectionLog-2018.01.15-16.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 15 января, 2018 Share Опубликовано 15 января, 2018 Номер Вы указали, а ответ не сообщили. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 adwcleaner. много чего удалилосьЕсли сохранились отчеты, покажите. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 15 января, 2018 Автор Share Опубликовано 15 января, 2018 adwcleaner логи удалил старые. Addition.txt FRST.txt Shortcut.txt HiJackThis.log Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 16 января, 2018 Автор Share Опубликовано 16 января, 2018 В антивирусных базах информация по присланным вами файлам отсутствует:74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exeBigtex.dllwtrwll.dllВ следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:SaltOvefresh.dll - UDS:DangerousObject.Multi.Generic5ia9a8GGkjgX.exe - UDS:DangerousObject.Multi.Generic Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 16 января, 2018 Share Опубликовано 16 января, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022 SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022 BHO-x32: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-12-29] FF Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-29] FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-29] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB569E438-20EB-4469-B609-D023C6449A7A%7D&gp=811022 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION 2018-01-06 09:51 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\AppriabuS 2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\f84a3c7a94524f5ba6add63eb8bd0cf7 2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\47721650c4d24546b607cc929faaa42d 2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\f84a3c7a94524f5ba6add63eb8bd0cf7 2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\47721650c4d24546b607cc929faaa42d 2018-01-06 09:41 - 2018-01-06 09:45 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\7ab5e4cdd0ee43eb8750699baf6e98fc 2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Все пользователи\5b549542c2eb4e4e9d17d9183822bad6 2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\ProgramData\5b549542c2eb4e4e9d17d9183822bad6 2018-01-06 09:30 - 2018-01-06 09:30 - 000000000 ____D C:\Users\Игорь\AppData\Local\2fd69704f8a24364b367bf01241a2d52 2018-01-06 09:29 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\941b59890c2e48f0b3bd8a5e38794f70 2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{6F5D53AA-D8F6-E401-A676-41198075CB7E} 2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E} 2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E} 2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E} 2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\Users\Все пользователи\{17862DAD-A02D-9A06-7A87-663DF8BA492F} 2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\ProgramData\{17862DAD-A02D-9A06-7A87-663DF8BA492F} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{672E4048-D085-F7E3-4A89-3F8153982208} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{672E4048-D085-F7E3-4A89-3F8153982208} 2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8} 2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0} 2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0} 2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{DF61680A-68CA-DFA1-28A2-C16897297D8F} 2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{DF61680A-68CA-DFA1-28A2-C16897297D8F} 2018-01-06 09:05 - 2018-01-06 09:11 - 000000000 ____D C:\Users\Игорь\AppData\Local\5935c6c3176849598bccaa89803ffa45 2018-01-06 09:04 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\49400410a8524c54a67382bfef1ab45a 2017-12-29 19:35 - 2017-12-29 19:35 - 001980340 _____ C:\Users\Игорь\AppData\Local\Whitefan.tst 2017-12-29 19:35 - 2017-12-29 19:35 - 000126464 _____ C:\Users\Игорь\AppData\Local\noah.dat 2017-12-29 19:35 - 2017-12-29 19:35 - 000070800 _____ C:\Users\Игорь\AppData\Local\Config.xml 2017-12-29 19:35 - 2017-12-29 19:35 - 000005568 _____ C:\Users\Игорь\AppData\Local\md.xml 2017-12-29 19:30 - 2017-12-29 19:30 - 000140800 _____ C:\Users\Игорь\AppData\Local\installer.dat 2017-12-29 19:30 - 2017-12-29 19:30 - 000014848 _____ C:\Users\Игорь\AppData\Local\srvcom.dll 2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\aaa56a3b6d1144e28303f7eb1c7eaf60 2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\2b089bf4930347e8809f6fd012888581 2017-12-29 19:28 - 2017-12-29 19:28 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\b0650e045ec642bd8628e821d49cb128 Task: {0D06D13C-ADC1-42BE-9149-0F2FDAFB7763} - \{DBBE7F67-A648-5488-CF78-112B284B400C} -> No File <==== ATTENTION Task: {45D5B76C-8D17-4CDD-B553-E1EB8C3721E2} - \{0D7D0B47-0E7F-7908-0D11-0B040A04110D} -> No File <==== ATTENTION Task: {9F47E1D4-CC1E-4651-99C6-B944ED56DD72} - \vqiVoSqILKMveFzSg2 -> No File <==== ATTENTION Task: {B1D3A741-3D94-4EDC-B22E-98A546ECC82F} - \{819CF309-3637-44A2-7C22-686EE539B6E2} -> No File <==== ATTENTION Task: {ECACE2DA-E4D5-4538-B977-5E80F902BC1C} - \F34F9528-126E-938F-0815-3CC3309D9DF1 -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 16 января, 2018 Автор Share Опубликовано 16 января, 2018 Сделал. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 16 января, 2018 Share Опубликовано 16 января, 2018 Что сейчас с проблемой? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 16 января, 2018 Автор Share Опубликовано 16 января, 2018 спасибо. ноут ожил и задышал=) Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 16 января, 2018 Share Опубликовано 16 января, 2018 Проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 17 января, 2018 Автор Share Опубликовано 17 января, 2018 (изменено) сделаю. в моем компьютере пустая папка\файл не убралась от яндекс диск. а ее как убрать? сделаю. на скрине пустая папка появилась от яндекс диск. а ее как убрать? Изменено 17 января, 2018 пользователем lolich25 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 18 января, 2018 Share Опубликовано 18 января, 2018 Соберите и прикрепите свежий CollectionLog.zip с помощью Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
lolich25 0 Опубликовано 18 января, 2018 Автор Share Опубликовано 18 января, 2018 сделано. CollectionLog-2018.01.18-16.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 874 Опубликовано 18 января, 2018 Share Опубликовано 18 января, 2018 1. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden C:\Users\Игорь\Links\Яндекс.Диск.lnk Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 2. Ярлыки C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk исправьте с помощью утилиты ClearLNK.Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению. 3. Через Панель управления - Удаление программ - удалите нежелательное ПО: Менеджер браузеров Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.