Vitos16101974 0 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Добрый день! При проверке kasperky virus removal tools в системной памяти находит вирус trojan.multi.certstor.a, после попытки вылечить с перезагрузкой опять находит его. Файл с логами прикладываю Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Здравствуйте! Вероятно забыли нажать кнопку "Загрузить". Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 исправился CollectionLog-2018.01.24-09.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', ''); QuarantineFile('C:\Windows\Temp\g7667.tmp.exe', ''); DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32'); DeleteFile('C:\Windows\Temp\g7667.tmp.exe', '32'); DeleteService('UbarCalloutDriver'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'HOME-ПК'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mail.ru/cnt/10445?gp=821115 R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxmR_fY-hHZlkxjK&q={searchTerms} R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={searchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B3B18F916-E6AF-4829-9ED5-86F3A4A34A63%7D&gp=821116 - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxmR_fY-hHZlkxjK&q={searchTerms} - Search the web O4 - HKLM\..\RunOnce: [HOME-ПК] = C:\Windows\Temp\g7667.tmp.exe O7 - Policy: [Untrusted Certificate] Fix all items from the log O22 - Task: qctrl - C:\Program Files\System Native\Main Services\qctrl.exe -exec (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 (изменено) Ответ от newvirus@kaspersky.com KLAN-7558568377 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:g7667.tmp.exeФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ"Ленинградское шоссе 39A/3, Москва, 125212, RussiaТелефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.com https://www.securelist.com" CollectionLog-2018.01.24-11.10.zip Изменено 24 января, 2018 пользователем Vitos16101974 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Лог прикрепили старый. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 Заменил на новый при проверке на вирусы в системной памяти опять вирус, на этот раз Trojan.Multi.GenAutorunBITS.a Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Заменил на новыйНапрасно Вы редактируете предыдущее сообщение. Прикрепите, пожалуйста, к следующему. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 Прикрепил CollectionLog-2018.01.24-11.10.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 Похоже, kaspersky removal tools с этим вирусом справился, больше не выдает вирусов при сканировании, благодарю за помощь Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 Отчет AdwCleaner не покажете? Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 (изменено) Хотя нет, поставил kaspersky free, начал проверять, опять вылез Trojan.Multi.GenAutorunBITS.a. Счас сделаю отчет Вот отчет AdwCleanerS0.txt Изменено 24 января, 2018 пользователем Vitos16101974 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 24 января, 2018 Share Опубликовано 24 января, 2018 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitos16101974 0 Опубликовано 24 января, 2018 Автор Share Опубликовано 24 января, 2018 1 отчет AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.