Antibarracuda Опубликовано 26 февраля, 2018 Опубликовано 26 февраля, 2018 Здравствуйте.Поселился в сети вирус - подключаешь флешку и все папки скрытые, а вместо них ярлыки.Есть лекарство? CollectionLog-2018.02.26-23.37.zip
regist Опубликовано 26 февраля, 2018 Опубликовано 26 февраля, 2018 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\users\kassa\appdata\roaming\mouse.exe'); QuarantineFile('c:\users\kassa\appdata\roaming\mouse.exe', ''); DeleteFile('c:\users\kassa\appdata\roaming\mouse.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ddmm'); BC_ImportALL; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. >> Заблокирована закладка Рабочий стол в окне свойств экрана >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирована закладка Оформление в окне свойств экрана >> Меню Пуск - заблокированы элементы сами блокировали?
Antibarracuda Опубликовано 27 февраля, 2018 Автор Опубликовано 27 февраля, 2018 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\users\kassa\appdata\roaming\mouse.exe'); QuarantineFile('c:\users\kassa\appdata\roaming\mouse.exe', ''); DeleteFile('c:\users\kassa\appdata\roaming\mouse.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ddmm'); BC_ImportALL; ExecuteSysClean; RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. >> Заблокирована закладка Рабочий стол в окне свойств экрана >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирована закладка Оформление в окне свойств экрана >> Меню Пуск - заблокированы элементы сами блокировали? Я правильно понимаю ,что вызывает подозрение процесс mouse.exe? Это безвредная утилита, которая не дает мышке убегать на второй монитор (установлены 2 монитора) Блокировки рабочего стола и заставки сами делали. Это рабочий ПК. (используется в магазине, как касса) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. MD5 карантина: D75C31B03B1A9C85136BDF8C5AD6E644 Размер файла: 10599945 байт Ссылка на результаты анализа:Результаты анализа карантина Тема для обсуждения результатов анализа: Результаты анализа карантина
regist Опубликовано 27 февраля, 2018 Опубликовано 27 февраля, 2018 Я правильно понимаю ,что вызывает подозрение процесс mouse.exe? Да. Это безвредная утилита, которая не дает мышке убегать на второй монитор (установлены 2 монитора) Тогда этот скрипт не надо выполнять. И всё-таки для надёжности проверьте этот файл на https://www.virustotal.com/ru/ (на данный момент он ни разу не проверялся). Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.Подробнее читайте в руководстве. PS. для цитирования можно использовать цитату выделенного. А для быстрого ответа есть форма внизу.
Antibarracuda Опубликовано 28 февраля, 2018 Автор Опубликовано 28 февраля, 2018 Догадался посмотреть, что запускают ярлыки:C:\Windows\system32\cmd.exe /c start ntuser.vbe&stArT ExPLoRer "Новая папка"&rem hero Отчёт прикрепите к сообщению. Сделал scan.txt
regist Опубликовано 28 февраля, 2018 Опубликовано 28 февраля, 2018 (изменено) 1) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\USERS\KASSA\NTUSER.VBE', ''); DeleteFile('C:\USERS\KASSA\NTUSER.VBE'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится.Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. Поместите в карантин MBAM всё кроме Данные реестра: 8 PUM.Optional.NoChangingWallpaper, HKU\S-1-5-21-3312206504-324318415-4060865933-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ACTIVEDESKTOP|NOCHANGINGWALLPAPER, Проигнорировано пользователем, [14102], [293332],1.0.4140 PUM.Optional.NoDispScrSavPage, HKU\S-1-5-21-3312206504-324318415-4060865933-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPSCRSAVPAGE, Проигнорировано пользователем, [14106], [293338],1.0.4140 PUM.Optional.NoDispBackgroundPage, HKU\S-1-5-21-3312206504-324318415-4060865933-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPBACKGROUNDPAGE, Проигнорировано пользователем, [14104], [293336],1.0.4140 PUM.Optional.NoDispAppearancePage, HKU\S-1-5-21-3312206504-324318415-4060865933-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPAPPEARANCEPAGE, Проигнорировано пользователем, [14103], [293335],1.0.4140 PUM.Optional.NoChangingWallpaper, HKU\S-1-5-21-3312206504-324318415-4060865933-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ACTIVEDESKTOP|NOCHANGINGWALLPAPER, Проигнорировано пользователем, [14102], [293332],1.0.4140 PUM.Optional.NoDispScrSavPage, HKU\S-1-5-21-3312206504-324318415-4060865933-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPSCRSAVPAGE, Проигнорировано пользователем, [14106], [293338],1.0.4140 PUM.Optional.NoDispBackgroundPage, HKU\S-1-5-21-3312206504-324318415-4060865933-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPBACKGROUNDPAGE, Проигнорировано пользователем, [14104], [293336],1.0.4140 PUM.Optional.NoDispAppearancePage, HKU\S-1-5-21-3312206504-324318415-4060865933-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPAPPEARANCEPAGE, Проигнорировано пользователем, [14103], [293335],1.0.4140 Файл: 2 Trojan.Agent.E.Generic, C:\WINRAR.EXE, Проигнорировано пользователем, [1030], [354432],1.0.4140 проверьте проблему. Изменено 28 февраля, 2018 пользователем regist
Antibarracuda Опубликовано 28 февраля, 2018 Автор Опубликовано 28 февраля, 2018 begin ClearQuarantineEx(true); QuarantineFile('C:\USERS\KASSA\NTUSER.VBE'', ''); DeleteFile('C:\USERS\KASSA\NTUSER.VBE''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(false); end. Ошибка: ')' expected в позиции 3:17И ставит курсор после QuarantineFile(
regist Опубликовано 28 февраля, 2018 Опубликовано 28 февраля, 2018 Ошибка: ')' expected в позиции 3:17 поправил.
Antibarracuda Опубликовано 2 марта, 2018 Автор Опубликовано 2 марта, 2018 проверьте проблему. Всё в порядке. Файл quarantine.zip из папки AVZ отправьте с помощью этой формы Отправил, но ответа что-то нет
regist Опубликовано 2 марта, 2018 Опубликовано 2 марта, 2018 MBAM деинсталируйте. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти