regist 617 Опубликовано 6 января, 2019 Share Опубликовано 6 января, 2019 Здравствуйте! WhiteClick LLC, опять таки, непонятно как удалять. а если windows + r вставить MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} нажать Enter, то что происходит? - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('ODQ1ODYxNGI1M', 4); SetServiceStart('OTJmZDU4MTNlNz', 4); StopService('ODQ1ODYxNGI1M'); StopService('OTJmZDU4MTNlNz'); QuarantineFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', ''); QuarantineFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', ''); DeleteFile('C:\Windows\system32\drivers\OTJmZDU4MTNlNz', '64'); DeleteFile('C:\Windows\wiforskqjfkjtje.wifo CWkHCiWWPaZipq', '64'); DeleteService('ODQ1ODYxNGI1M'); DeleteService('OTJmZDU4MTNlNz'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.+ Включите обнаружение нежелательных программ, обновите базы. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 6 января, 2019 Автор Share Опубликовано 6 января, 2019 WhiteClick LLC с помощью win + r не находится, а если ввести MsiExec.exe открывается установщик Windows, в котором ничего нельзя сделать, кроме как закрыть его.Ответ от newvirus такой же:[KLAN-9414663884]Thank you for contacting Kaspersky LabThe specified URLs have been scanned with the Kaspersky Security Network cloud service.Our antivirus databases do not contain the specified URLs:https://www55.zippyshare.com/v/3QMZMsqy/file.htmlWe will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it.Anti-Virus Lab, Kaspersky Lab HQВысылаю отчет и логи. ClearLNK-2019.01.06_22.24.16.log CollectionLog-2019.01.06-22.38.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 января, 2019 Share Опубликовано 6 января, 2019 WhiteClick LLC с помощью win + r не находится оно и не должно там находиться. а если ввести MsiExec.exe надо вводить не только MsiExec.exe а скопировать и вставить целиком ту строку, которыю вам написал. Повторюсь скопируйте и вставьте туда MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} после этого нажмите Enter. The specified URLs have been scanned with the Kaspersky Security Network cloud service. и в карантин надо посылать не ссылки, а файлы. Ваше письмо проверяет робот и по ссылке с какого-то обменника он ничего не скачает.На файл в карантине добавили детект not-a-virus:AdWare.Win32.Agent.xxdynyжду пока выполните указанные действия через windows + R и отпишитесь о результате. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 6 января, 2019 Автор Share Опубликовано 6 января, 2019 Gmail не дает послать файл с вирусом, карантин ответил, что можно послать ссылку на обменник.Хорошо, попробую с другой почты, пришлют ответ - отпишусь.MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен. Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:OTJmZDU4MTNlNz - not-a-virus:AdWare.Win32.Agent.xxdynyФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 января, 2019 Share Опубликовано 6 января, 2019 MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} вбиваю в win + r, пишет, что ресурс с установочными файлами недоступен.тогда попробуем по другому. Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 7 января, 2019 Автор Share Опубликовано 7 января, 2019 Сделано LAPTOP-2RQNAAJI_2019-01-07_03-33-39_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 января, 2019 Share Опубликовано 7 января, 2019 1) Деинсталируйте SearchAwesome 2) Удалите остатки MCAFEE https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ 3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG uidel MsiExec.exe /I{C443A4A4-EA71-432E-AA2B-1A06C60A5A3F} exec32 C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe uidel C:\Windows\ZWJjMTU0YWU0NzEyOTB.exe ;---------command-block--------- zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\FQZPPNINXICMEQQOS\VKGOZXJBQLINCRKE\INYJPJI.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\COMAPIPROXY.DLL delref %SystemRoot%\TEMP\CB763E68-A715-4F39-8DBB-19C95C2EBB8A delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL apply regt 27 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 4) Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 8 января, 2019 Автор Share Опубликовано 8 января, 2019 С удалением SearchAwesome были проблемы, но после выполнения скрипта он исчез.Архив отправил, имя карантина: 2019.01.08_ZOO_2019-01-08_21-02-15_2ff74893b5595635368e5f765b799014.7zПо поводу проблемы: WhiteClick LLC на компьютере больше нет, видимых воздействий вирусов на компьютер, вроде как, не наблюдается. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 8 января, 2019 Share Опубликовано 8 января, 2019 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
egora60j 0 Опубликовано 10 января, 2019 Автор Share Опубликовано 10 января, 2019 Часто используемые уязвимости не найдены.При этом я обнаружил новую проблему: часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается. Это может быть связано с вирусами? Утилиты пока не удалял, жду ответа на этот вопрос. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 января, 2019 Share Опубликовано 10 января, 2019 часто окна сворачиваются и открываются сами по себе, вроде бы в этих окнах даже на что-то кликается. проверьте мышку, клавиатуру. Может у вас кнопка где залипает. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.