Sandor 1 254 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 22 февраля, 2018 Автор Share Опубликовано 22 февраля, 2018 DESKTOP-OB8QFI9_2018-02-22_16-10-10.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 22 февраля, 2018 Share Опубликовано 22 февраля, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG delref %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\FAST SEARCH bl 12F076B223960034B10BDF28AF61EC1E 570960 zoo %SystemDrive%\TIEM.TXT delall %SystemDrive%\TIEM.TXT zoo %SystemDrive%\USERS\КРАВЧЕНКО\APPDATA\LOCAL\TEMP\FCYCDDIG.EXE bl B5EF8DC1FB7026FB4EB0E6477452BC61 505856 addsgn 1A830A9A55834C720BD4C4A50CB06A4325625AB889FAF78EF5C3C5B3E7261B4ECB15BE573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.Win32.Agent.hhqm [Kaspersky] 7 chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Соберите новый лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 23 февраля, 2018 Автор Share Опубликовано 23 февраля, 2018 DESKTOP-OB8QFI9_2018-02-23_09-02-29.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Лезет через уязвимости, поэтому давайте их проверим: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Соберите, пожалуйста, отчеты этой версией Автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 Log CollectionLog-2018.02.26-10.19.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Запускали именно файл AutoLogger-test.exe ? На всякий случай, удалите папку Autologger вместе с содержимым и повторите еще раз запуск указанного файла. Полученный архив CollectionLog прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 Прошу прощения, запускал AutoLogger Log CollectionLog-2018.02.26-10.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('ebsenthi.sys'); StopService('rktzlatjq.sys'); QuarantineFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', ''); QuarantineFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', ''); DeleteFile('C:\WINDOWS\system32\drivers\crbkmoffx.sys', '64'); DeleteFile('C:\WINDOWS\System32\drivers\ebsenthi.sys', '64'); DeleteFile('C:\WINDOWS\system32\drivers\kfkignmwu.sys', '64'); DeleteFile('C:\WINDOWS\system32\drivers\kmjysfuzo.sys', '64'); DeleteFile('C:\WINDOWS\system32\drivers\rktzlatjq.sys', '64'); DeleteService('crbkmoffx.sys'); DeleteService('ebsenthi.sys'); DeleteService('kfkignmwu.sys'); DeleteService('kmjysfuzo.sys'); DeleteService('rktzlatjq.sys'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Настройки антивируса сделайте так, как описано в этой статье - https://support.kaspersky.ru/13639 Затем обновите базы продукта и запустите Быструю проверку. Найденные угрозы удалите (лечение активного заражения с перезагрузкой). Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 После запуска скрипта появляется: Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Система не загружается? Пробуйте в безопасном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
Doblovod 0 Опубликовано 26 февраля, 2018 Автор Share Опубликовано 26 февраля, 2018 Компьютер не перезагружается после выполнения скрипта. После принудительного выключения и включения он запускается. Или в безопасном режиме запустить скрипт? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2018 Share Опубликовано 26 февраля, 2018 Повторно выполнять скрипт не нужно. А повторный CollectionLog сделайте. Также сделайте предложенные настройки антивируса. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.