gag2011 0 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 Касперский определяет трояна, но вылечить его не может. физически файла с этим именем на ндд нет. касперский видит трояна только у меня проверял ндд (лог диск С) у друзей на гарантировано чистой машине (касперский, корпоративная версия, лицензия) - там все было чисто? Лог прилагаю. Дополнительно добавил в вордовском файле скрин центра уведомления . Заранее благодарен. CollectionLog-2019.04.30-00.39.zip Касперский не удаляет PDM.docx Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 апреля, 2019 Share Опубликовано 30 апреля, 2019 Здравствуйте, Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Что из этого ДНС-сервера вашего интернет провайдера? O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241 O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241 O17 - HKLM\System\CCS\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.0 O17 - HKLM\System\CCS\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 134.17.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 185.20.113.21 O17 - HKLM\System\CCS\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 134.17.0.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 185.20.113.21 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.0 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{69DF1D84-77C2-4919-81FC-345AC2341695}: [NameServer] = 134.17.1.1 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.0 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{ACAF77A9-9E0D-45D0-9765-102F05FF0671}: [NameServer] = 134.17.1.1 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 134.17.0.12 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E9EEE256-F403-4F4E-9290-0911E4873C31}: [NameServer] = 185.20.113.21 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 134.17.0.12 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FF1CF481-4AD3-439E-AE92-E9A0CA19C531}: [NameServer] = 185.20.113.21 Удалите остатки от антивируса Avast HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O2-32 - HKLM\..\BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteRepair(1); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится.Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
gag2011 0 Опубликовано 2 мая, 2019 Автор Share Опубликовано 2 мая, 2019 Добрый день, Андрей! Вроде бы все получилось сделать как написано. O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.240.241O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7818-E599-447E-9886-F5FD2FE9A309}: [NameServer] = 82.209.243.241 это мой провайдер - Минск, Белтелеком (www.byfly.by), по остальным сложно сказать - достаточно давно пару раз подключался через модем МТС (сим-карта), а так только белтелеком. во вложении отчеты Заранее спасибо. ClearLNK-2019.05.02_13.34.11.log SASA_2019-05-02_16-26-44_v4.1.4.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 2 мая, 2019 Share Опубликовано 2 мая, 2019 Выполните скрипт в uVS: ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL restart - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
gag2011 0 Опубликовано 3 мая, 2019 Автор Share Опубликовано 3 мая, 2019 Добрый день. Скрипт выполнил. Отчеты добавил. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 3 мая, 2019 Share Опубликовано 3 мая, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [Autodesk Sync] => [X] File: C:\Program Files (x86)\hp LaserJet 1000\fwdl.exe File: C:\Program Files (x86)\Microsoft Office\Office\OSA9.EXE Task: {00D4970D-A37B-4514-AA1E-26412BCA812D} - \M-2-8-35-1208908583-1090510245-1011758591-4855\{TNBRCGT-YMDV-P3FO-PETE-OMWX8NEQ4RM7} -> No File <==== ATTENTION Task: {EDC7966D-F23A-42B7-A0D5-7FBC9011579A} - \KMSAutoNet -> No File <==== ATTENTION FF NewTab: Mozilla\Firefox\Profiles\607dhdma.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180109__yaff U3 aswbdisk; no ImagePath Folder: C:\ProgramData\RogueKiller File: C:\Windows\system32\Drivers\TrueSight.sys Folder: C:\Users\GAG\AppData\Roaming\GHISLER Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
gag2011 0 Опубликовано 9 мая, 2019 Автор Share Опубликовано 9 мая, 2019 Доброго. На работе был аврал... только сегодня вот что то получилось сделать... Так как KMSAuto у мя на "запуске" винды стоит, то мне ее страшно резать (если режем....) Task: {EDC7966D-F23A-42B7-A0D5-7FBC9011579A} - \KMSAutoNet -> No File <==== ATTENTION на всякий случай перестраховался и исключил эту строку из работы. А так все остальное сделал. Отчет во вложении. Заранее спасибо. Надеюсь, что причина не в KMSAuto! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 мая, 2019 Share Опубликовано 9 мая, 2019 @gag2011, похоже на ложное срабатывание, создайте запрос в тех. поддержку. Там точно подскажут и исправят если это фолс. Только вам понадобится прикрепить запись трассировок с воспроизведением проблемы. То что в первом посте вордовский документ то это совсем не лог. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gag2011 0 Опубликовано 10 мая, 2019 Автор Share Опубликовано 10 мая, 2019 в ворде только скрин экрана с сообщением каспика, для более точного описания вопроса Печалька...у мя стоит самый простой каспик и, если я правильно понял, тех поддержка оказывается касперским только на платные версии. Бесплатные продукты не поддерживаются Лабораторией Касперского* https://my.kaspersky.com/techsupport#/requests/new - если создавать обращение по этой ссылке то там нет ссылки на каспика фрии!!!! В какую в моем случае тех. поддержку задать вопрос? Просьба дать ссылку или что делаем дальше? тех поддержка не распространяется на каспик фрии....печалька..... В какую тех. поддержку мне написать по моему вопросу или что делать дальше? Заранее благодарен. P.S. info@kaspersky.com пока напишу туда, может и не пошлют.... Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 мая, 2019 Share Опубликовано 10 мая, 2019 касперский, корпоративная версия, лицензия как вариант попросите друзей создать запрос по вашей проблеме (указав при этом при создание запроса их версию антивируса)...может пойдут на встречу вам.Правда запись трассировок в Free кажись можно включить только с командной строки, а без трассировок тут только гадать. Цитата Ссылка на сообщение Поделиться на другие сайты
gag2011 0 Опубликовано 11 мая, 2019 Автор Share Опубликовано 11 мая, 2019 не проходит, уже раньше пробовали.......обидно что АВР принимает такую политику, но может есть варианты типа фри удалить установить триал на 30 дней... (только какой?) им скан сделать ну и назад фри??? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.