Рома Сафин 0 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 Прогонял систему avz и kvrt, все удаляется кроме этого вируса, все делал в безопасном режиме, т.к. в нормальном при открытии папки с антивирусом сразу приостанавливается проводник, а ссылки на антивирусные сайты в опере приводит к ее закрытию. В общем нужна помощь, логи ниже. CollectionLog-2019.01.25-15.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys',''); QuarantineFile('C:\Program Files (x86)\Common Files\YYkH.exe',''); DeleteFile('C:\Program Files (x86)\Common Files\YYkH.exe','64'); DeleteFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','64'); DeleteSchedulerTask('{01F677F8-40FD-BA9F-B861-B4EE51A86B80}'); DeleteService('GPCIDrv'); BC_Activate; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_ImportALL; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4-32 - HKLM\..\RunOnce: [{9A52CD82-6267-4CF3-AD3C-7714E51825AA}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\uchih\AppData\Local\Temp" /B {9A52CD82-6267-4CF3-AD3C-7714E51825AA}.cmd O4-32 - HKLM\..\RunOnce: [{E9718251-E17D-47E5-9BC8-3616140BC4AE}] = C:\Users\uchih\AppData\Local\Temp\{84A82499-42C4-4E6D-8243-49F8EF9C73D9}\{E9718251-E17D-47E5-9BC8-3616140BC4AE}.cmd (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 25 января, 2019 Автор Share Опубликовано 25 января, 2019 ошибка: Undeclared identifier: 'DeleteSchedulerTask' в позиции 13.21 при выполнении первого скрипта Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 AVZ запускайте из папки автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 25 января, 2019 Автор Share Опубликовано 25 января, 2019 (изменено) С касперского ответили что архив запаролен, у себя открываю, никакие пароли не требуются. KLAN-9508532754Ниже архив после фикса пробовал перепаковывать архив как просили, все также им не удается его распаковать, просят пароль. CollectionLog-2019.01.25-16.22.zip Изменено 25 января, 2019 пользователем Рома Сафин Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 25 января, 2019 Share Опубликовано 25 января, 2019 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 25 января, 2019 Автор Share Опубликовано 25 января, 2019 Честно, не знаю. Вроде как сейчас все процессы не зависают. В безопасном режиме каждый раз касперская утилка находила этот вирус, в нормальном режиме уже ничего не нашла. Единственное у меня по прежнему на всех файлах стоит атрибут только чтение, его убираешь, применяются настройки, тут же заходишь и опять только чтение галка стоит, раньше такого не было. Уже на всякий случай проверил групповую политику, там все норм, мой учетка типа админ. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 26 января, 2019 Share Опубликовано 26 января, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 26 января, 2019 Автор Share Опубликовано 26 января, 2019 Вот Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 26 января, 2019 Share Опубликовано 26 января, 2019 В безопасном режиме каждый раз касперская утилка находила этот вирусНа какой-то конкретный файл? Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION S0 58376672; system32\drivers\43509466.sys [X] Folder: C:\ProgramData\USOShared Folder: C:\ProgramData\USOPrivate Folder: C:\Users\Все пользователи\USOShared Folder: C:\Users\Все пользователи\USOPrivate HKLM\...\StartupApproved\Run32: => "Bonus.SSR.FR10" FirewallRules: [{D74B0C81-4C72-41D0-BE58-78C332AE9269}] => (Allow) C:\Users\uchih\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.) FirewallRules: [UDP Query User{253679AD-E89F-4629-B862-C9CD5AE45531}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File FirewallRules: [TCP Query User{63004CC0-F1B6-4869-9AC9-D5F59478954A}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File FirewallRules: [TCP Query User{BE03B261-8C82-4CAC-A287-1DE7F5803B85}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File FirewallRules: [UDP Query User{25FDC875-3E6D-4044-9B9C-2B8EBB6EE904}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File FirewallRules: [{AF7AFBCF-A12F-4F23-936A-8E5ABF0166F9}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File FirewallRules: [{155105B5-4A18-46D7-851A-9155F56807CE}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File FirewallRules: [TCP Query User{9ECDD277-7293-4C24-AC42-15E8800C62E2}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File FirewallRules: [UDP Query User{E27D76B6-CCBD-4428-B816-C70FAF938D7A}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 27 января, 2019 Автор Share Опубликовано 27 января, 2019 Сделано Если бы программа ругалась на какой то конкретный файл, я бы давно его руками удалил, вирус находился при проверке системной памяти, именно про поиске в безопасном режиме ОС, в нормально сейчас не находит. Но при включении пк сейчас на секунду появилась командная строка и что то произошло, даже не успел разглядеть и закрылась. После этого сразу проверил систему еще раз утилитой, ничего не нашла. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 Если бы антивирус ругался на какой то конкретный файл я бы его без всяких антивирусов руками удалил, но он обнаруживался во время проверки системной памяти. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 249 Опубликовано 28 января, 2019 Share Опубликовано 28 января, 2019 он обнаруживалсяБольше не обнаруживается? Цитата Ссылка на сообщение Поделиться на другие сайты
Рома Сафин 0 Опубликовано 28 января, 2019 Автор Share Опубликовано 28 января, 2019 он обнаруживалсяБольше не обнаруживается? не обнаруживается, но пару дней назад при включении пк на секунду сама открылась командная строчка, что то мелькнуло, и закрылась сама. Ранее такого не было, думаю это не нормально, да и не мог же вирус по итоге стереться сам, тем более из памяти. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 249 Опубликовано 29 января, 2019 Share Опубликовано 29 января, 2019 да и не мог же вирус по итоге стереться самЧто значит "сам"? А все предыдущие шаги по-вашему были просто так? на секунду сама открылась командная строчкаПоследите. Если повторится, сообщите. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.