tenek Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Возможно кто подскажет, на нескольких машинах удаляются файлы данных аутлук, причем чуть ли не в реальном времени (создаю новый, проходит 10-30 минут почта перестает работать. Пользователь перезаходит- ругается на отсутствующий файл данных ). Проверка Есетом ендпоинт (установленным у нас ), утилитами от касперского и доктора веба ничего не показала. Возможно кто то с подобным сталкивался?
Mark D. Pearlstone Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Порядок оформления запроса о помощи
tenek Опубликовано 2 октября, 2018 Автор Опубликовано 2 октября, 2018 (изменено) Вот логи. CollectionLog-2018.10.02-19.45.zip Изменено 2 октября, 2018 пользователем tenek
regist Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\mapOM.bat', ''); QuarantineFile('C:\WINDOWS\mssecsvc.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\mapOM.bat', '64'); DeleteFile('C:\WINDOWS\mssecsvc.exe', '64'); DeleteService('mssecsvc2.0'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.+ добавлю, что репаки от Дьяка зло, вот как раз в соседней теме тоже его репаками пользовались . + поставьте обновление kb4012212-x64
tenek Опубликовано 2 октября, 2018 Автор Опубликовано 2 октября, 2018 Ответ от newvirus@kaspersky.com: Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует:mapOM.bat KLAN-8844157228 Повторный лог прикладываю. CollectionLog-2018.10.02-21.21.zip
regist Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.
regist Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Удалите в MBAM всё найденное. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Daum PotPlayer\Посетить сайт автора RePacka.lnk этот ярлык советую удалить вручную. Что с проблемой? 1
tenek Опубликовано 2 октября, 2018 Автор Опубликовано 2 октября, 2018 Сомневаюсь про проблема в Daum PotPlayer (судя по логам установлен был в 14 году, от той же даты и ярлык ), но удалить не сложно. По проблеме смогу ответить завтра- у нас пол первого ночи, пользователи спят.
regist Опубликовано 2 октября, 2018 Опубликовано 2 октября, 2018 Сомневаюсь про проблема в Daum PotPlayer (судя по логам установлен был в 14 году, от той же даты и ярлык ), но удалить не сложно. от самого ярлыка проблемы конечно нет, а вот от программ которые могут быть скачаны с сайта куда он ведёт проблемы запросто . Да и появился он наверняка в ходе установки не совсем "чистой" программы, поэтому и сказал удалить.
tenek Опубликовано 4 октября, 2018 Автор Опубликовано 4 октября, 2018 Вчера тестировал- проблем не было, решил для чистоты эксперимента дождаться следующего дня. Сегодня опять все .pst файлы удалены
regist Опубликовано 4 октября, 2018 Опубликовано 4 октября, 2018 поставьте обновление kb4012212-x64 сделали?! Остальные обновления безопасности тоже поставьте если ещё не стоят. + Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
tenek Опубликовано 5 октября, 2018 Автор Опубликовано 5 октября, 2018 Прикладываю лог PC-2199_2018-10-05_09-30-23_v4.0.21.7z
regist Опубликовано 5 октября, 2018 Опубликовано 5 октября, 2018 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemDrive%\USERS\ANIKANOV\APPDATA\ROAMING\MSYYXPM.EXE delall %SystemDrive%\USERS\ANIKANOV\APPDATA\ROAMING\MSYYXPM.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540555}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com А вообще учитывая, что у вас там сплошные репаки: Ccleaner от ZverDvD, PotPlayer репак от diakov, MICROSOFT OFFICE 2007 REPACK BY KPOJIUK (это только то что с ходу в глаза бросилось) - то не удивительно, что у вас там разные непонятные глюки. Используйте оригинальные программы, не репаки тем более от автор с такой дурной славой и проблем будет меньше. сделали?! Остальные обновления безопасности тоже поставьте если ещё не стоят. сделайте если ещё не сделали и отпишитесь, что с проблемой. Изменено 5 октября, 2018 пользователем regist
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти