Svetlana8 0 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Добрый день. 3 дня назад обнаружилась невыключающаяся программа Multitimer на ноуте у детей. Антивирус был не проплачен. Изначально стоял Касперский, но вовремя не продлила. Активировала антивирус, при проверке обнаружил Трояна и другие объекты. Не вылечил. При этом невозможно было заходить в интернет. Далее загрузился гугл и я скачала программу по вашей рекомендации, при проверке опять обнаружился Троян. Лечение с перезагрузкой привело к повторному запуску программы Касперский Remooval Tool, проверка длилась при этом более 18 часов (оставили на ночь). Далее опять выскакивают рекомендации о лечении. Решила не делать ничего. скачала Автологгер. Но теперь не могу выгрузить антивирус, он просит принимать решение о лечении. Посоветуйте. Живу в Венгрии, муж отвозил в сервис, там сказали, что с ноутом все в порядке. Решила обратиться к вам. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Здравствуйте! не могу выгрузить антивирусПродолжайте так. Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 (изменено) Собрала. Изменено 31 января, 2019 пользователем Svetlana8 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Во время прикрепления возможно не нажали кнопку "Загрузить". Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 Спасибо. Еще раз... CollectionLog-2019.01.31-10.37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Через Панель управления - Удаление программ - удалите нежелательное ПО: AVG PC TuneUp MediaGet One System Care Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\slowmotion\193179061.exe'); TerminateProcessByName('c:\program files (x86)\slowmotion\204023497.exe'); QuarantineFile('c:\program files (x86)\slowmotion\193179061.exe', ''); QuarantineFile('c:\program files (x86)\slowmotion\204023497.exe', ''); QuarantineFile('c:\program files\kd9h15ot8i\kd9h15ot8.exe', ''); QuarantineFile('c:\users\asus\appdata\roaming\5ajmzkio3fi\xnhfbdf5vg3.exe', ''); QuarantineFile('c:\users\asus\appdata\roaming\erlqfn2sfmj\wrb3mxocfdl.exe', ''); DeleteFile('c:\program files (x86)\slowmotion\193179061.exe', ''); DeleteFile('c:\program files (x86)\slowmotion\204023497.exe', ''); DeleteFile('C:\Program Files (x86)\SlowMotion\193179061.exe', '64'); DeleteFile('C:\Program Files (x86)\SlowMotion\204023497.exe', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', '0ujiifwgi43', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'zzonp5ops4a', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(4); ExecuteRepair(13); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 Ответ такой:Re: карантин зип [KLAN-9532170816] Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует:193179061.exe204023497.exeВ следующих файлах обнаружен вредоносный код:kd9h15ot8.exe - HEUR:Trojan.MSIL.Agent.genxnhfbdf5vg3.exe - Trojan-Clicker.MSIL.Agent.cnxowrb3mxocfdl.exe - Trojan-Clicker.MSIL.Agent.cnxoФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ И логи: У меня выключился антивирус с сообщением о блокировке ключа по причине опасности заражении. и кроме этого постоянно осуществляется переход по разным ссылкам (чуть ранее они блокировались антивирусом) CollectionLog-2019.01.31-12.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\asus\appdata\local\temp\is-3bb3n.tmp\wrb3mxocfdl.tmp'); TerminateProcessByName('c:\users\asus\appdata\local\temp\is-v8fio.tmp\xnhfbdf5vg3.tmp'); TerminateProcessByName('c:\users\asus\appdata\roaming\5ajmzkio3fi\xnhfbdf5vg3.exe'); TerminateProcessByName('c:\users\asus\appdata\roaming\erlqfn2sfmj\wrb3mxocfdl.exe'); StopService('230E8240D4EC'); QuarantineFile('c:\users\asus\appdata\roaming\5ajmzkio3fi\xnhfbdf5vg3.exe', ''); QuarantineFile('c:\users\asus\appdata\roaming\erlqfn2sfmj\wrb3mxocfdl.exe', ''); QuarantineFile('C:\WINDOWS\230E8240D4EC.sys', ''); DeleteSchedulerTask('AVGPCTuneUp_Task_BkGndMaintenance'); DeleteFile('c:\users\asus\appdata\roaming\5ajmzkio3fi\xnhfbdf5vg3.exe', '32'); DeleteFile('c:\users\asus\appdata\roaming\erlqfn2sfmj\wrb3mxocfdl.exe', '32'); DeleteFile('C:\WINDOWS\230E8240D4EC.sys', '64'); DeleteService('230E8240D4EC'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5828056', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '5828056', 'x64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '8732596', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '8732596', 'x64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', 'x64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 + Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 (изменено) Сделала. Это ответ: [KLAN-9532288511] Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код:xnhfbdf5vg3.exe - Trojan-Clicker.MSIL.Agent.cnxowrb3mxocfdl.exe - Trojan-Clicker.MSIL.Agent.cnxoВ антивирусных базах информация по присланным вами файлам отсутствует:230E8240D4EC.sysФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ Логи. Отчет с adwCleaner есть. https://virusinfo.info/virusdetector/report.php?md5=E12DE0F387D32D08444B5FBAAEB98736 CollectionLog-2019.01.31-13.37.zip AdwCleanerS00.txt Изменено 31 января, 2019 пользователем Svetlana8 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 Готово AdwCleanerC01.txt ClearLNK-2019.01.31_14.36.21.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Svetlana8 0 Опубликовано 31 января, 2019 Автор Share Опубликовано 31 января, 2019 сделала. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2019 Share Опубликовано 31 января, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKU\S-1-5-21-83060030-1329016318-1436454512-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxk9oNnnUH7Jc-QtNDXyt0fm1fBxiTfrmjJzOVqZtSYjj1finqp_lRb80KP9trmseAi4U8_4pGLRpVDvLiZ2lPLIAfXRPS-p4ZuXgDoGKGhbK9E_tb_pbk4xHNdHQdygPwDT4uEY1Eknm-HmJIImpp-HPRoMkimlZYt3wJ6DIJw,, 2019-01-31 09:36 - 2019-01-31 13:15 - 000000000 ____D C:\Users\asus\AppData\Roaming\erlqfn2sfmj 2019-01-31 09:36 - 2019-01-31 13:15 - 000000000 ____D C:\Users\asus\AppData\Roaming\5ajmzkio3fi 2019-01-31 09:36 - 2019-01-31 12:17 - 000000000 ____D C:\Program Files\KD9H15OT8I 2019-01-30 14:53 - 2019-01-31 09:34 - 000000000 ____D C:\Users\asus\AppData\Roaming\cr4veyu3nnz 2019-01-30 14:53 - 2019-01-31 09:34 - 000000000 ____D C:\Users\asus\AppData\Roaming\2oahfqraf2j 2019-01-30 14:53 - 2019-01-31 08:51 - 000000000 ____D C:\Program Files\JU96A3V4UT 2019-01-28 23:43 - 2019-01-28 23:43 - 000126464 _____ C:\Users\asus\AppData\Local\noah.dat 2019-01-28 23:43 - 2019-01-28 23:43 - 000070896 _____ C:\Users\asus\AppData\Local\Config.xml 2019-01-28 23:43 - 2019-01-28 23:43 - 000005568 _____ C:\Users\asus\AppData\Local\md.xml 2019-01-28 23:40 - 2019-01-29 16:22 - 000000000 ____D C:\Users\asus\AppData\Roaming\razjtnxyhj2 2019-01-28 23:40 - 2019-01-29 16:22 - 000000000 ____D C:\Users\asus\AppData\Roaming\m0yd5v4052q 2019-01-28 23:40 - 2019-01-29 16:22 - 000000000 ____D C:\Program Files\R4UUPNVPO4 2019-01-28 23:40 - 2019-01-28 23:52 - 000000000 ____D C:\Program Files\QPV8NRUO69 2019-01-28 21:26 - 2019-01-29 04:56 - 000000000 ____D C:\Program Files\3H1R2T7JKJ 2019-01-28 21:26 - 2019-01-28 21:26 - 000000000 ____D C:\Program Files\4NYGOC4D7I 2019-01-28 21:25 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\u3edul3ffvb 2019-01-28 21:25 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\eqfybzyuyff 2019-01-28 15:12 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\bpgf5zem10o 2019-01-28 15:12 - 2019-01-28 15:12 - 000000000 ____D C:\Program Files\YPO2897C7V 2019-01-28 15:11 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\3wm1y5cxav0 2019-01-28 15:11 - 2019-01-28 15:12 - 000000000 ____D C:\Program Files\VIYNU04723 2019-01-28 14:26 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\ilcpe2jwmo5 2019-01-28 14:26 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\gg0nfii4mua 2019-01-28 14:26 - 2019-01-28 14:26 - 000000000 ____D C:\Program Files\G330VCRTOA 2019-01-28 14:26 - 2019-01-28 14:26 - 000000000 ____D C:\Program Files\5EPCG3R477 2019-01-28 13:42 - 2019-01-29 04:57 - 000000000 ____D C:\Program Files\I7AGYPXWB6 2019-01-28 13:42 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\hz1lbypedsy 2019-01-28 13:42 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\3c0nhtsdoqm 2019-01-28 13:42 - 2019-01-28 13:42 - 000000000 ____D C:\Program Files\QPXPZOUGNH 2019-01-27 20:14 - 2019-01-30 14:47 - 000000000 ____D C:\Program Files\HT8QDU3BQZ 2019-01-27 20:14 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\qzxzwrtjyb4 2019-01-27 20:14 - 2019-01-28 23:37 - 000000000 ____D C:\Users\asus\AppData\Roaming\gaom21oknkl HKU\S-1-5-21-83060030-1329016318-1436454512-1001\...\StartupApproved\Run: => "1C1PP8SH2NY6YC1" EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.