eansmol 0 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 (изменено) Здравствуйте! Компьютер проверен KVRT, найдены вирусы. После лечения запустил Autologger. CollectionLog-2019.10.10-12.30.zip Изменено 10 октября, 2019 пользователем eansmol Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Smart Application Controller Unity Web Player Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', ''); ExecuteFile('schtasks.exe', '/delete /TN "VhtCslJxjXTjuGA" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', ''); DeleteFile('C:\Windows\Tasks\VhtCslJxjXTjuGA.job', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 1. Удалено нежелательное ПО 2. Выполнен скрипт в AVZ 3. По адресу newvirus@kaspersky.com получен ответ KLAN-11203900726 "Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:quarantine.zipФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте." 4. Логи собраны. CollectionLog-2019.10.10-14.30.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 Сканирование в AdwCleaner завершилось AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 1. Повторное сканирование с помощью AdwCleaner выполнено. 2. Сканирование с помощью Farbar Recovery Scan Tool выполнено. AdwCleanerC01.txt FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {28c23aa6-bb2c-11e7-be8b-1c497b03667d} - "F:\iLinker.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f87-6709-11e7-be66-90489aca49dc} - "F:\setup.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f96-6709-11e7-be66-90489aca49dc} - "G:\Autorun.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {ef23ba27-6ded-11e7-be6d-1c497b03667d} - "E:\installer.exe" GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {01DE4B91-72A4-42BB-B736-FE1E3C560C45} - System32\Tasks\Steam_x64-S-2-106-91 => "C:\Users\user\AppData\Roaming\MumboJumbo\CODEXi\Steam" [Argument = gtbot2014.] <==== ATTENTION Task: {7C3C414F-DBCA-4BF1-961A-60B20F6EC824} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe Task: {AFDE891E-E1EF-4962-A4B7-DBD4C0ABB477} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m HKU\S-1-5-21-720443254-957065752-1208379274-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m URLSearchHook: HKU\S-1-5-21-720443254-957065752-1208379274-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2018-10-12] FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=ffhp15.1.11.102&inline_hp_cnt=11956636 CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m CHR NewTab: Default -> Active:"chrome-extension://beliehdniadoecbonbhlcgbdldccfigp/visual-bookmarks.html" C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] - hxxps://clients2.google.com/service/update2/crx U3 aswbdisk; no ImagePath S1 IMFCameraProtect; \??\C:\Windows\system32\drivers\IMFCameraProtect.sys [X] S3 IMFDownProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFDownProtect.sys [X] S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X] S3 IMFForceDelete; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFForceDelete.sys [X] S1 IMFMBRProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFMBRProtect.sys [X] S1 IMFSafeBox; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFSafeBox.sys [X] S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [X] S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUProcessFilter.sys [X] S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IURegistryFilter.sys [X] S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X] 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\ProgramData\IObit 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Program Files (x86)\IObit 2019-10-06 12:07 - 2018-04-12 19:14 - 000000000 ____D C:\ProgramData\AVAST Software 2019-10-01 11:25 - 2018-10-12 09:39 - 000000000 ____D C:\ProgramData\ProductData 2018-04-12 19:04 - 2019-09-22 14:43 - 000000766 _____ () C:\Users\user\AppData\Local\uBar.lnk ShellIconOverlayIdentifiers: [ IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] FirewallRules: [{F4AFE690-90BB-4582-91E9-AD8E9BCB707D}] => (Allow) C:\Users\user\AppData\Local\Temp\DRPSu17\bin\tools\aria2c.exe No File FirewallRules: [{F948BC32-5F02-473C-B4D6-1BA23DEB4677}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File FirewallRules: [{C9958A66-3323-4575-9430-65E07D55778F}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File FirewallRules: [TCP Query User{D8F32C9E-8E8C-408F-85F5-5EB740A06ED2}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File FirewallRules: [UDP Query User{60FA1BBA-0FBB-482B-8403-0D3EC4555017}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File FirewallRules: [{F66A5ADF-2B20-463D-89AE-55E829DA8A8A}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File FirewallRules: [{5F86B38F-1D0D-4252-ACD0-2C318679F4F4}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File FirewallRules: [{864B9A39-0E04-4626-802D-4EA2D1A793B7}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File FirewallRules: [{70CA28A0-4572-4783-81F9-83A10F6E19A2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 Сделано Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Зависания и разрывы связи с интернет пропали. Долгая загрузка Windows осталась и Kaspersky Free обнаружил подозрительные объекты Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Скачайте Malwarebytes' Anti-Malware. Установите и запустите. На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Сделано. Файл прикрепил scan.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Удалите (поместите в карантин) все, кроме двух последних PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Проигнорировано пользователем, [254], [454830],1.0.12853 PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [254], [454830],1.0.12853 Так MBAM реагирует на поиск от mail.ru, являющийся дефолтным для русской версии браузера. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Сделано. Программа не запросила перезагрузку и не создала отчет о перемещении в карантин Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения