Удаление .pst и .ost

[tenek]

Возможно кто подскажет, на нескольких машинах удаляются файлы данных аутлук, причем чуть ли не в реальном времени (создаю новый, проходит 10-30 минут почта перестает работать. Пользователь перезаходит- ругается на отсутствующий файл данных ). Проверка Есетом ендпоинт (установленным у нас ), утилитами от касперского и доктора веба ничего не показала. Возможно кто то с подобным сталкивался?

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[tenek]

Вот логи.

CollectionLog-2018.10.02-19.45.zip

Изменено 2 октября, 2018 пользователем tenek

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\mapOM.bat', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\mapOM.bat', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteService('mssecsvc2.0');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

+ добавлю, что репаки от Дьяка зло, вот как раз в соседней теме тоже его репаками пользовались .

 

+ поставьте обновление kb4012212-x64
 

[tenek]

Ответ от newvirus@kaspersky.com:  Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mapOM.bat

KLAN-8844157228

 

Повторный лог прикладываю.

CollectionLog-2018.10.02-21.21.zip

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[tenek]

Результат  проверки

result.txt

[regist]

Удалите в MBAM всё найденное.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Daum PotPlayer\Посетить сайт автора RePacka.lnk

этот ярлык советую удалить вручную.

 

Что с проблемой?

[tenek]

Сомневаюсь про проблема в Daum PotPlayer (судя по логам установлен был в 14 году, от той же даты и ярлык ), но удалить не сложно. 

По проблеме смогу ответить завтра- у нас пол первого ночи, пользователи спят.

[regist]

 

 

Сомневаюсь про проблема в Daum PotPlayer (судя по логам установлен был в 14 году, от той же даты и ярлык ), но удалить не сложно.

от самого ярлыка проблемы конечно нет, а вот от программ которые могут быть скачаны с сайта куда он ведёт проблемы запросто . Да и появился он наверняка в ходе установки не совсем "чистой" программы, поэтому и сказал удалить.

[tenek]

Вчера тестировал- проблем не было, решил для чистоты эксперимента дождаться следующего дня. Сегодня опять все .pst файлы удалены

[regist]

 

 

поставьте обновление kb4012212-x64

сделали?! Остальные обновления безопасности тоже поставьте если ещё не стоят.

 

+ Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[tenek]

Прикладываю лог

PC-2199_2018-10-05_09-30-23_v4.0.21.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.21 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  zoo %SystemDrive%\USERS\ANIKANOV\APPDATA\ROAMING\MSYYXPM.EXE
  delall %SystemDrive%\USERS\ANIKANOV\APPDATA\ROAMING\MSYYXPM.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
  delref {D27CDB6E-AE6D-11CF-96B8-444553540555}\[CLSID]
  delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
  apply
  
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com

А вообще учитывая, что у вас там сплошные репаки:

Ccleaner от ZverDvD,  PotPlayer репак от diakov,  MICROSOFT OFFICE 2007 REPACK BY KPOJIUK (это только то что с ходу в глаза бросилось) - то не удивительно, что у вас там разные непонятные глюки. Используйте оригинальные программы, не репаки тем более от автор с такой дурной славой и проблем будет меньше.

 

 

 

сделали?! Остальные обновления безопасности тоже поставьте если ещё не стоят.

сделайте если ещё не сделали и отпишитесь, что с проблемой.

Изменено 5 октября, 2018 пользователем regist