egora60j 0 Опубликовано 3 января, 2019 Share Опубликовано 3 января, 2019 Здравствуйте! При полном сканировании антивирусом Kasperskiy Total Security каждый раз находит вирус mem:trojan.win32.sepem.gen и предлагает вылечить с перезагрузкой. После перезагрузки при новом сканировании опять находит то же самое.Проявляется вирус следующим образом: при использовании любого поисковика в любом браузере первые несколько ссылок абсолютно не относятся к теме поиска - выдает какой-то мусор на непонятном языке. Также компьютер стал работать медленнее.Заранее спасибо! CollectionLog-2019.01.04-00.42.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 3 января, 2019 Share Опубликовано 3 января, 2019 1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. 2) От того. что вы поставили себе несколько антивирусов в итоге у вас ни один нормально не работает. Avast Free Antivirus [2018/12/16 02:53:36]-->C:\Program Files\AVAST Software\Avast\Setup\Instup.exe /control_panel Kaspersky Secure Connection [2019/01/03 05:19:30]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3} REMOVE=ALL Kaspersky Secure Connection [20190103]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3} Kaspersky Total Security [2019/01/03 05:18:57]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883} REMOVE=ALL Kaspersky Total Security [20190103]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883} McAfee LiveSafe [2018/12/17 23:24:10]-->C:\Program Files\McAfee\MSC\mcuihost.exe /body:misp://MSCJsRes.dll::uninstall.html /id:uninstall McAfee WebAdvisor [2018/12/16 00:19:19]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe Оставьте антивирус от одного вендора, остальное деинсталируйте. 3) WindowsZip 1.0.0.0 [20181221]-->"C:\Program Files (x86)\WindowsZip\unins000.exe" YoutubeAdBlock [2019/01/03 01:36:46]-->rundll32 "C:\Program Files (x86)\utzZkkanmIUn\BXtbhCvDfN.dll",#1 Zaxar Games Browser 4 [20190103]-->"C:\Program Files (x86)\Zaxar\unins000.exe" Кнопка "Яндекс" на панели задач [2019/01/03 05:20:15]-->C:\Users\Иван\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned Менеджер браузеров [2018/12/21 22:07:48]-->"C:\Users\Иван\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe" /uninstall Программное обеспечение Intel® Chipset Device [2018/09/14 07:12:35]-->"C:\ProgramData\Package Cache\{eb0d4a41-3065-42b0-a868-c60d42d3ea98}\SetupChipset.exe" /uninstall это тоже деинсталируйте. 4) После этого соберите свежие логи, дочистим оставшееся. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Не уверен, что файл загрузился в базу AVZ, кажется какие-то проблемы с сайтом.Остальное сделано, высылаю логи: https://www64.zippyshare.com/v/sHldJtth/file.html Вот ссылка на лог AVZ CollectionLog-2019.01.04-02.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Иван\AppData\Local\Temp\fqzPPninXiCMEqqOs\VkGozxJbQlinCrkE\inyJpJI.dll', ''); QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo', ''); QuarantineFile('C:\WINDOWS\system32\tasks\cREIDkRiGowbWjB', ''); QuarantineFile('C:\WINDOWS\system32\tasks\DvwLFWwXutwLxJgmB2', ''); QuarantineFile('C:\WINDOWS\system32\tasks\iYMvCriySoqaGgPjbmR2', ''); QuarantineFileF('C:\Program Files\NTg1MjA2Mj\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); SetServiceStart('D0C1B51A0F56', 4); StopService('D0C1B51A0F56'); DeleteService('D0C1B51A0F56'); QuarantineFile('C:\Windows\D0C1B51A0F56.sys',''); DeleteFile('C:\Windows\D0C1B51A0F56.sys','64'); DeleteFile('C:\Users\Иван\AppData\Local\Temp\fqzPPninXiCMEqqOs\VkGozxJbQlinCrkE\inyJpJI.dll', '64'); DeleteFile('C:\Windows\wiforskqjfkjtje.wifo'); DeleteFileMask('C:\Program Files\NTg1MjA2Mj\', '*', true); DeleteDirectory('C:\Program Files\NTg1MjA2Mj\'); DeleteSchedulerTask('cREIDkRiGowbWjB'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. И YoutubeAdBlock [2019/01/03 01:36:46]-->rundll32 "C:\Program Files (x86)\utzZkkanmIUn\BXtbhCvDfN.dll",#1 так и не деинсталировали. До выполнения скрипта деинсталируйте его. Изменено 4 января, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 При выполнении скрипта выдает:"Ошибка: ')' expected в позиции 6:34"Также возникают проблемы с удалением YoutubeAdBlock, с помощью "Установки и удаления программ" удалять отказывается, пишет "не найден указанный модуль"Если искать через Проводник, то папки "utzZkkanmIUn" и вовсе нет.Заранее спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 При выполнении скрипта выдает: "Ошибка: ')' expected в позиции 6:34" исправил. + смените все пароли, после окончания лечения смените их ещё раз. У вас там вирус активен, который их ворует. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Скрипт прошел, сообщение отправил по адресу newvirus@kaspersky.com, пока не ответили.Воздействия вируса на поисковик больше не наблюдается.С YoutubeAdBlock нужно что-то делать? Есть какие нибудь идеи как его можно удалить?Высылаю логи. Спасибо! CollectionLog-2019.01.04-21.50.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 Скрипт прошел, сообщение отправил по адресу newvirus@kaspersky.com, пока не ответили. ответ робота процитируйте. А так обнаружен новый вирус в файле d0c1b51a0f56.sys.vir_ - Trojan-PSW.Win64.Seikooc.h Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 [KLAN-9405854449]Your letter does not contain any files. They may have been deleted by your mail server antivirus as infected ones. Please try sending them again in an archive with the password “infected” (without quotes). You can also upload the files to any popular file hosting service or FTP server and send us the corresponding link.Послал ссылку на файл в облаке, пока нет ответа Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 1) Multitimer version 1.0 [20190103]-->"C:\Program Files (x86)\Multitimer\unins000.exe" DiskWMpower version 1.0 [20190103]-->"C:\Program Files (x86)\DiskWMpower\unins000.exe" эти программы вам знакомы? Советую деинсталировать.А также деинсталируйте SchedTaskSetup [20190103]-->"C:\Users\Иван\AppData\Roaming\SchedTaskSetup\unins000.exe" SearchAwesome [2019/01/03 01:36:58]-->C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe WhiteClick LLC [20190103]-->MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} и ещё эти программы сами установили? foldershare [2019-01-03]-->"C:\Program Files (x86)\foldershare\uninstaller.exe" /uninstall Голосовой помощник Алиса [20190103]-->MsiExec.exe /I{90D204FB-2443-46AC-97CE-E72F07F8D350} 2) Удалите хвосты от avast.3) "Пофиксите" в HijackThis: R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10477_754_190102&q={searchTerms} - Ad-Aware SecureSearch O4 - HKCU\..\StartupApproved\Run: [1476021] = C:\Users\Иван\AppData\Roaming\qrsualtihmi\mip3mcvxf01.exe /VERYSILENT (file missing) (2019/01/03) O4 - HKCU\..\StartupApproved\Run: [5431708] = C:\Users\Иван\AppData\Roaming\nn3jvefayxw\ealoelwr3hl.exe /VERYSILENT (file missing) (2019/01/03) O4 - HKCU\..\StartupApproved\Run: [Browser Manager] = C:\Users\Иван\AppData\Local\Yandex\BrowserManager\MBLauncher.exe (file missing) (2019/01/03) O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2019/01/03) O15 - Trusted Zone: http://webcompanion.com O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) 4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Удалил все, кроме WhiteClick LLC, опять таки, непонятно как удалять.Хвосты, вроде бы, удалил.Пофиксил.Файл AdwCleaner прикрепляю. [KLAN-9406072540] Thank you for contacting Kaspersky LabThe specified URLs have been scanned with the Kaspersky Security Network cloud service.Our antivirus databases do not contain the specified URLs:https://www13.zippyshare.com/v/n1pkE4ib/file.htmlWe will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQ AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 января, 2019 Share Опубликовано 5 января, 2019 Удалил все и как понимаю всё ставили не сами? Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 5 января, 2019 Автор Share Опубликовано 5 января, 2019 Да, ставил не сам.С00 нет, появился только С01, прикрепляю. AdwCleanerC01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 января, 2019 Share Опубликовано 5 января, 2019 Соберите свежие логи Автологером. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 5 января, 2019 Автор Share Опубликовано 5 января, 2019 Высылаю. CollectionLog-2019.01.05-23.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.