Руслан Исхаков Опубликовано 22 февраля, 2019 Опубликовано 22 февраля, 2019 Сегодня увидел это окошечко в своем Яндекс браузере. На протяжении около месяца замечал какую то странную активность в нем, то gmail не открывается по причине невозможного безопасного соединения, то Adwcleaner находит зловреды связанные с ним, скрин скинуть не могу вчера только его удалил, а он спавнится в течении трех дней после удаления(примерно). Проверил компьютер drwebcureit нашел пару файликов, я их удалил. Лог прикрепил. CollectionLog-2019.02.22-14.14.zip
Sandor Опубликовано 22 февраля, 2019 Опубликовано 22 февраля, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Кнопка "Яндекс" на панели задач Чистилка Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\boy.exe', ''); DeleteFile('C:\Windows\System32\boy.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). "Пофиксите" в HijackThis: F2-32 - HKLM\..\WinLogon: [Shell] = F2-32 - HKLM\..\WinLogon: [UserInit] = F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Прикрепите к следующему сообщению свежий CollectionLog.
Руслан Исхаков Опубликовано 22 февраля, 2019 Автор Опубликовано 22 февраля, 2019 Re: [KLAN-9656043221] Thank you for contacting Kaspersky Lab The files have been scanned in automatic mode. No information about the specified files can be found in the antivirus databases: quarantine.zip We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email. This is an automatically generated message. Please do not reply to it. Anti-Virus Lab, Kaspersky Lab HQ Все что нашел в Hijack this пофиксил, некоторых пунктов не оказалось, прикрепил скрин. CollectionLog-2019.02.22-15.23.zip
Sandor Опубликовано 22 февраля, 2019 Опубликовано 22 февраля, 2019 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Руслан Исхаков Опубликовано 22 февраля, 2019 Автор Опубликовано 22 февраля, 2019 Очищать? AdwCleanerS40.txt
Sandor Опубликовано 22 февраля, 2019 Опубликовано 22 февраля, 2019 Нет. Этот файл AdwCleaner[C39].txt покажите. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Руслан Исхаков Опубликовано 22 февраля, 2019 Автор Опубликовано 22 февраля, 2019 Вот все файлы AdwCleanerS40.txt FRST.txt Addition.txt
Sandor Опубликовано 22 февраля, 2019 Опубликовано 22 февраля, 2019 Этот файл AdwCleaner[C39].txt покажитеОбратите внимание, символ [C], а не . Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0e7369aa-fa39-4d8f-8145-2461ad88b357} <==== ATTENTION (Restriction - IP) Toolbar: HKU\S-1-5-21-3479573803-4251318315-2286022399-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} - No File CHR HKU\S-1-5-21-3479573803-4251318315-2286022399-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] - hxxp://clients2.google.com/service/update2/crx 2019-02-22 13:09 - 2019-02-22 14:51 - 000000000 ____D C:\ProgramData\Чистилка ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\Users\Public\AppData:CSM [468] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Руслан Исхаков Опубликовано 22 февраля, 2019 Автор Опубликовано 22 февраля, 2019 C39 делал сегодня в обед, но там не было того вредного файла, который обычно. А уже в c41 он есть, тоже прикрепил, сканировал только что. AdwCleanerC41.txt AdwCleanerC39.txt Fixlog.txt
Руслан Исхаков Опубликовано 22 февраля, 2019 Автор Опубликовано 22 февраля, 2019 Не могу сейчас точно сказать, завтра отпишусь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти