Перейти к содержанию
Авторизация  
neotrance

Лечение активного заражения

Рекомендуемые сообщения

Антивирус производит каждый день Лечение активного заражения.

CollectionLog-2019.03.28-14.56.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@neotrance, пожалуйста, внутрь тега CODE процитируйте строку из лога антивируса (что он там находит и лечит).

RoboForm - как понимаю уже удалён (не установлен)?

 

Почистим немного мусор.

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Adobe ARM [command] = C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (HKLM) (2013/04/16) (file missing)
O4 - MSConfig\startupreg: Adobe Reader Speed Launcher [command] = C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (HKLM) (2013/04/16) (file missing)
O4 - MSConfig\startupreg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} [command] = C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (HKCU) (2014/10/24) (file missing)
O4 - MSConfig\startupreg: Christmas Gift [command] = C:\Users\Администратор\Desktop\Elki_optimakomp_ru\Elki_optimakomp_ru\ChristmasGift.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: Christmas spirit [command] = C:\Users\Администратор\Desktop\Elki_optimakomp_ru\Elki_optimakomp_ru\XmasSpirit.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: Little Tree [command] = C:\Users\Администратор\Desktop\Elki_optimakomp_ru\Elki_optimakomp_ru\LittleTree.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: Live Xmas Tree [command] = C:\Users\Администратор\Desktop\Elki_optimakomp_ru\Elki_optimakomp_ru\LiveXmasTree.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: NeroFilterCheck [command] = C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (HKLM) (2013/04/16) (file missing)
O4 - MSConfig\startupreg: Rainbow Tree [command] = C:\Users\Администратор\Desktop\Elki_optimakomp_ru\Elki_optimakomp_ru\RainbowTree.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: RoboForm [command] = C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe (HKCU) (2017/01/20) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2015/04/08) (file missing)
O22 - Task: Open URL by RoboForm - C:\Windows\system32\rundll32.exe url.dll,FileProtocolHandler "http://www.roboform.com/uninstall.html?aaa=KICMMJOMLMJMLJOJNMHMCNOMMMMMIMCNLMMMMMMMCNOJLJJJJJCNNJOMKMJJOMKJLJKMOMIMNMOMJNJICMIMCNGMCNNMNMFMOMPMCNPMCNGMNMPMPMFMJMCNOMCNIMJMPMOMCNNMJNPICMPMFMFMKMMMOMJNHICMEKMICNJJCKJNBJCMONPMCMNNKMKLPNHNMLFMPLBNGNJNKJCMJNNICMJNDJCMNIKIJNMJCMPMFMPMFMPMJNFICMNIJJIIGJPIKJAJKILIBNKJHIKJ"
O22 - Task: Run RoboForm Process - C:\Users\Администратор\AppData\Local\Temp\RoboForm\RoboTaskBarIcon.exe (file missing)
O22 - Task: Run RoboForm TaskBar Icon - C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe (file missing)
O22 - Task: {18BA6476-B875-42C2-86E8-3F7A463BEA47} - c:\program files\mozilla firefox\firefox.exe http://ui.skype.com/ui/0/6.3.0.105/uk/eula (file missing)
O22 - Task: {545F893B-5F78-4E83-B3FA-14EB3CDD9151} - c:\program files\opera\opera.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=2 (file missing)
Изменено пользователем regist

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

внутрь тега CODE процитируйте строку из лога антивируса (что он там находит и лечит).

извините не совсем понял как это сделать. 

 

Сделал экспорт "обнаруженных обьектов", которые находил антивирус. Файл прикрепил 

 

 

RoboForm - как понимаю уже удалён (не установлен)?

да, удален.

 

 

Почистим немного мусор. "Пофиксите" в HijackThis:

Пофиксил

code.txt

Изменено пользователем neotrance

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


извините не совсем понял как это сделать.
можно и вручную вписать теги
[CODE] тут текст [/CODE]

Можно использовать кнопку для вставки этих ББ-кодов, на панели она выглядит как <>. Но уже не нужно, по логу уже ясно что у вас проблема с рассширением Хрома, а как следствие ругается на not-a-virus:HEUR:AdWare.Script.Viso.gen

 

Пока попробуем так

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ было бы интересно сравнить с логом этой версии. Только у неё перед сканированием в настройках надо отключить обновление баз. Там много новых эвристик добавили, но они только по бета каналу пока доступны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Если проблема останется, то

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Если проблема останется, то
проблема решена?
Если нет, то жду лог uVS, если да, то подтвердите, что решена.

 

+

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


проблема решена?

Вопрос решен!

Наблюдал два дня за ситуацией, все хорошо.

Спасибо за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.