Дима Матюшевский 0 Опубликовано 21 января, 2018 Share Опубликовано 21 января, 2018 Доброй ночи уважаемые каспера... В общем общем подцепил троян, на который касперский постоянно ругается . Причем даже если каспер чтото удаляет оно через время появляется снова. Полную проверку выполнял 2 раза, но он ничего не находит. При этом каждые пол часа (примерно) вылазит окно "Систем32" . Вот логи CollectionLog-2018.01.22-01.48.zip. Заранее спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 января, 2018 Share Опубликовано 22 января, 2018 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\emkYH.bat', ''); QuarantineFile('C:\Program Files (x86)\Multitimer\Multitimer.exe', ''); QuarantineFile('C:\WINDOWS\system32\tasks\yuipVtJUAEqI', ''); QuarantineFile('c:\users\дима\appdata\local\dolsaw.dll', ''); QuarantineFile('C:\Users\Дима\AppData\Local\MediaGet2\mediaget.exe', ''); QuarantineFile('C:\Users\Дима\AppData\Local\yjEmuSugPyxQ.bat', ''); QuarantineFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop Mania.lnk', ''); QuarantineFile('C:\Users\Дима\YUYaZ.exe', ''); QuarantineFileF('C:\Program Files (x86)\Multitimer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\Common Files\emkYH.bat', '32'); DeleteFile('c:\users\дима\appdata\local\dolsaw.dll'); DeleteFile('C:\Users\Дима\AppData\Local\yjEmuSugPyxQ.bat', '32'); DeleteFile('C:\Users\Дима\YUYaZ.exe'); ExecuteFile('schtasks.exe', '/delete /TN "EAEEQAxEFyiOI" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "kpiYJb" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. MediaGet [20170516]-->C:\Users\Дима\AppData\Local\MediaGet2\mediaget-uninstaller.exe ScreenUp [2015/11/30 09:45:14]-->C:\Program Files (x86)\ScreenUp\uninst.exe Служба автоматического обновления программ [2018/01/15 12:05:43]-->C:\Users\Дима\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall деинсталируйте. Multitimer version 1.0 [20180115]-->"C:\Program Files (x86)\Multitimer\unins000.exe" Служба автоматического обновления программ [2018/01/15 12:05:43]-->C:\Users\Дима\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall Если не знакомо/не используете, то тоже деинсталируйте.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
Дима Матюшевский 0 Опубликовано 23 января, 2018 Автор Share Опубликовано 23 января, 2018 https://virusinfo.info/virusdetector/report.php?md5=89A82B9380E7BE71F57D1E508418425D ClearLNK-24.01.2018_02-00.log CollectionLog-2018.01.24-02.19.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 1) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Дима\AppData\Local\dolsaw.dll', ''); QuarantineFile('C:\Users\Дима\YUYaZ.exe', ''); DeleteFile('C:\Users\Дима\AppData\Local\dolsaw.dll', '32'); DeleteFile('C:\Users\Дима\YUYaZ.exe'); ExecuteFile('schtasks.exe', '/delete /TN "yuipVtJUAEqI" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dolsaw'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 3) Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы. 4) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Дима Матюшевский 0 Опубликовано 26 января, 2018 Автор Share Опубликовано 26 января, 2018 Первый и второй пункт не получилось выполнить никак. Пытался делать раз пять. Но после выполнения скрипта просто напросто в папке не появлялся файл quarantine.zip. Единственное что. Появлялась папка с название quarantine внутри которой появлялась еще 1 папка с датой и временем выполнения сборки логов, но внутри папки пусто... Что касается последних двух пунктов, все проделал DIMA_2018-01-27_02-38-43.7z Вот свежие логи если что. CollectionLog-2018.01.27-02.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 января, 2018 Share Опубликовано 27 января, 2018 Пытался делать раз пять. Но после выполнения скрипта просто напросто в папке не появлялся файл quarantine.zip. Единственное что. Появлялась папка с название quarantine внутри которой появлялась еще 1 папка с датой и временем выполнения сборки логов, но внутри папки пусто... если пять раз выполняли, то уже конечно будет пусто... если бы один раз выполнили, то просто бы вручную заархивировали.+ Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Дима Матюшевский 0 Опубликовано 27 января, 2018 Автор Share Опубликовано 27 января, 2018 AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 января, 2018 Share Опубликовано 27 января, 2018 1) Временнно деинсталируйте Warface [2018/01/23 01:20:59]-->"C:\Users\Дима\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -cp mailrugames://uninstall/0.1177 Игровой центр [2017/05/17 09:08:38]-->"C:\Users\Дима\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall по окончанию лечения если они нужны поставьте заново. 2) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
Дима Матюшевский 0 Опубликовано 27 января, 2018 Автор Share Опубликовано 27 января, 2018 AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 января, 2018 Share Опубликовано 27 января, 2018 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Дима Матюшевский 0 Опубликовано 28 января, 2018 Автор Share Опубликовано 28 января, 2018 все хорошо уже. удалил когда "авто обновление майл" ничего не появляется, каспер не ругается. Спасибо большое за помощь. Вирус был похож типо как майнер или чтото такое! потому что систем 32 появлялся и капали байты сиды пиры и тд Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 28 января, 2018 Share Опубликовано 28 января, 2018 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.