Екатерина Белозерцева Опубликовано 20 февраля, 2018 Опубликовано 20 февраля, 2018 Здравствуйте!Касперский обнаружил MEM:Trojan-Spy.Win32.Agent.gen. Лечение не помогает. После перезагрузки вирус снова обнаруживается в системной памяти. Также проверяла Dr.Web CureIt!.- он его не находит, в том числе при проверке с загрузочной флэшки. Перед началом перезагрузки выбивает сообщение: ***.dll (разные имена файлов) не предназначен для windows. Дважды после перезагрузки переставали открываться любые файлы на диске С. CollectionLog-2018.02.20-17.39.zip 1
regist Опубликовано 20 февраля, 2018 Опубликовано 20 февраля, 2018 - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению.
Екатерина Белозерцева Опубликовано 20 февраля, 2018 Автор Опубликовано 20 февраля, 2018 Логи, пожалуйста ClearLNK-20.02.2018_18-34.log AdwCleanerS0.txt
regist Опубликовано 20 февраля, 2018 Опубликовано 20 февраля, 2018 # AdwCleaner v4.202 - Отчёт создан 24/04/2015 в 00:08:50 1) Деинсталируйте утилиту кнопкой Uninstall (Деинсталлировать). 2) Скачайте актуальную версию по ссылке, что я дал и сделайте лог как написано выше.
Екатерина Белозерцева Опубликовано 20 февраля, 2018 Автор Опубликовано 20 февраля, 2018 Извините, прошлый лог остался от давней работы уже удаленной программы Прикрепляю актуальный AdwCleanerS1.txt
regist Опубликовано 21 февраля, 2018 Опубликовано 21 февраля, 2018 (изменено) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Изменено 21 февраля, 2018 пользователем regist
Екатерина Белозерцева Опубликовано 21 февраля, 2018 Автор Опубликовано 21 февраля, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Прикрепляю логи. Окна о деятельности руткита не было. AdwCleanerC0.txt gmer_log_2018-02-21.log
regist Опубликовано 21 февраля, 2018 Опубликовано 21 февраля, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('wfcre'); QuarantineFile('C:\windows\system32\drivers\wfcre.sys', ''); DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32'); DeleteService('wfcre'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да.
Екатерина Белозерцева Опубликовано 21 февраля, 2018 Автор Опубликовано 21 февраля, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('wfcre'); QuarantineFile('C:\windows\system32\drivers\wfcre.sys', ''); DeleteFile('C:\windows\system32\drivers\wfcre.sys', '32'); DeleteService('wfcre'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Спасибо за советы и помощь! Файл quarantine.zip отправила с помощью формы. Прикрепляю логи повторной диагностики. adwcleaner.exe удалила. CollectionLog-2018.02.21-23.05.zip
regist Опубликовано 21 февраля, 2018 Опубликовано 21 февраля, 2018 @Екатерина Белозерцева, хватит заниматься оверковотингом. Это затрудняет чтение и запрещено правилами форума. А для ответа есть поле быстрого ответа внизу. Если хотите что-то процитировать пользуйтесь цитатой выделенного. смените пароли! Что с проблемой?
Екатерина Белозерцева Опубликовано 21 февраля, 2018 Автор Опубликовано 21 февраля, 2018 @regist, вас поняла. Спасибо за помощь! После 15 мин зависания процесса обработки найденного трояна Касперский перестал детектировать эту проблему.
regist Опубликовано 21 февраля, 2018 Опубликовано 21 февраля, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Екатерина Белозерцева Опубликовано 21 февраля, 2018 Автор Опубликовано 21 февраля, 2018 @regist, выполнено, уязвимостей не обнаружено. Рекомендации выполню. Благодарю за помощь!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти