Павел Степанов Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Добрый день! Несколько дней Касперский Free находит в Системной памяти mem trojan.win32.stantinko.gen. Предлагает лечить перезагрузкой - эффекта ноль. С KVRT ситуация аналогичная. Лог во вложении. Пожалуйста, помогите побороть) CollectionLog-2018.06.18-14.20.zip
Sandor Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\themctrl.dll', ''); QuarantineFile('C:\Windows\TEMP\clearcache.dll', ''); QuarantineFile('D:\autorun.inf', ''); DeleteFile('C:\Windows\system32\themctrl.dll', ''); DeleteFile('C:\Windows\System32\themctrl.dll', '32'); DeleteFile('C:\Windows\TEMP\clearcache.dll', ''); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Изменено 18 июня, 2018 пользователем Sandor
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 KLAN-8247588412 Логи во вложении. Касперский все также находит вирус( CollectionLog-2018.06.18-16.07.zip
Sandor Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Номер KLAN Вы сообщили, а ответ забыли. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 Прошу прощения, отчеты во вложении, ответ ниже: Thank you for contacting Kaspersky LabThe files have been scanned in automatic mode.No information about the specified files can be found in the antivirus databases:themctrl.dllclearcache.dllautorun.infWe will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ"39A/3 Leningradskoe Shosse, Moscow, 125212, RussiaTel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://www.securelist.com"--------------------------------------------------------------------------------Sent: 6/18/2018 3:55:00 PMTo: newvirus@kaspersky.comSubject: newvirus Addition.txt FRST.txt
Sandor Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: ShortcutTarget: Canon LBP3300 Status Window.lnk -> C:\$Recycle.Bin\S-1-5-21-195018870-3779631887-2232896579-1002\$RFQ4G9H.EXE () GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-195018870-3779631887-2232896579-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B77F5894B-A227-4C3F-AB37-358CF3DE0EEA%7D&gp=789219 SearchScopes: HKU\S-1-5-21-195018870-3779631887-2232896579-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B77F5894B-A227-4C3F-AB37-358CF3DE0EEA%7D&gp=789219 FF user.js: detected! => C:\Users\Пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\l6uom87c.default\user.js [2015-12-16] FF HomepageOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: homepage@mail.ru FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Disabled: {a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: search@mail.ru FF NewTabOverride: Mozilla\Firefox\Profiles\l6uom87c.default -> Enabled: homepage@mail.ru CHR HomePage: Default -> inline.go.mail.ru CHR StartupUrls: Default -> "www.top-page.ru/?from=us","hxxp://searchfunmoods.com/?f=1&a=iron2&cd=2XzuyEtN2Y1L1Qzu0C0C0BtByDyDtDtB0F0FtC0D0AyDyBtAtN0D0Tzu0CyEtBtAtN1L2XzutBtFtBtFtCtFyDtDtAtN1L1Czu1L1C1F1GtB&cr=1347269179&ir=","hxxp://mail.ru/cnt/10445?gp=789214" CHR NewTab: Default -> Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html" Task: {492365AD-B843-426E-9AB8-205FA39CFECD} - \WPD\SqmUpload_S-1-5-21-195018870-3779631887-2232896579-1001 -> No File <==== ATTENTION Task: {FBE42A37-92BB-4CA4-943D-C8E12F450453} - \Optimize Start Menu Cache Files-S-1-5-21-195018870-3779631887-2232896579-1001 -> No File <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 А скопированный текст куда вставлять?
Sandor Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Я ничего не забыл, если Вы об этом Скопировать, запустить, нажать Fix.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 Извиняюсь за задержку. Файл во вложении. Fixlog.txt
regist Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 @Павел Степанов, свежие логи FRST сделайте.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 Ээээм, хорошо, я вроде после перезагрузки сделал их. Сейчас еще раз во вложении прикрепил. Fixlog.txt
regist Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Ээээм, хорошо, я вроде после перезагрузки сделал их. Сейчас еще раз во вложении прикрепил. я не про это - это отчёт о фиксе. А нужны новые логи сканирования frst.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 Сорри, это я невнимательно прочитал. Во вложении отчеты. FRST.txt Addition.txt
regist Опубликовано 18 июня, 2018 Опубликовано 18 июня, 2018 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: Task: {9FD30974-06B1-4FEA-9A80-7BC3E64F0B32} - System32\Tasks\Microsoft\Windows\SystemRestore\ProShopper => C:\Users\Пользователь\AppData\Roaming\ProShopper\ProShopper.exe <==== ATTENTION ShortcutWithArgument: C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9eeba61e85febcf9\Визуальные Закладки Mail.Ru.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=oelpkepjlgmehajehfeicfbjdiobdkfj FirewallRules: [TCP Query User{DCFB2FED-8414-491F-9E03-657E97436058}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [UDP Query User{2129038E-D49F-44D1-B471-917B3353FC96}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{4D4B312D-342E-46B5-998C-87E0C03F3F35}] => (Allow) C:\program files\common files\tencent\qqdownload\131\tencentdl.exe HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {22db2eeb-ab63-11e3-9743-bc5ff4bc2cec} - "F:\AutoRun.exe" HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {22db2f4f-ab63-11e3-9743-bc5ff4bc2cec} - "F:\AutoRun.exe" HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {2ca0901c-5f69-11e3-9715-806e6f6e6963} - "E:\setup.exe" HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {53474c3e-b659-11e3-9743-bc5ff4bc2cec} - "G:\AutoRun.exe" HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {5cff8348-a03f-11e3-9741-bc5ff4bc2cec} - "F:\SISetup.exe" HKU\S-1-5-21-195018870-3779631887-2232896579-1002\...\MountPoints2: {68dbf1cc-6012-11e3-971d-806e6f6e6963} - "E:\setup.exe" ShortcutTarget: Canon LBP3300 Status Window.lnk -> C:\$Recycle.Bin\S-1-5-21-195018870-3779631887-2232896579-1002\$RFQ4G9H.EXE () OPR Extension: (Ultimate Discounter) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2016-04-05] OPR Extension: (The Safe Surfing) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-04-27] OPR Extension: (Teddy Protection Lite) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-07-20] S2 themctrl; C:\Windows\System32\svchost.exe [31552 2013-08-22] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) R2 wbiosrvp; C:\Windows\System32\wbiosrvp.dll [413184 2013-10-22] () [File not signed] C:\Windows\System32\wbiosrvp.dll S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\QMUdisk.sys [X] S3 softaal; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\softaal.sys [X] S3 TcHardWare; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\QQPCHW.sys [X] S2 tsnethlp; \??\C:\Program Files\Tencent\QQPCMgr\12.1.18202.223\TsNetHlp.sys [X] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
Павел Степанов Опубликовано 18 июня, 2018 Автор Опубликовано 18 июня, 2018 Файл во вложении. Fixlog.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти