eansmol 0 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 (изменено) Здравствуйте! Компьютер проверен KVRT, найдены вирусы. После лечения запустил Autologger. CollectionLog-2019.10.10-12.30.zip Изменено 10 октября, 2019 пользователем eansmol Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Smart Application Controller Unity Web Player Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', ''); ExecuteFile('schtasks.exe', '/delete /TN "VhtCslJxjXTjuGA" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Local\Temp\frhJYnceMSYnYdbbN\ScruAVWzIHMfwDuN\nCkXWQU.dll', ''); DeleteFile('C:\Windows\Tasks\VhtCslJxjXTjuGA.job', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 1. Удалено нежелательное ПО 2. Выполнен скрипт в AVZ 3. По адресу newvirus@kaspersky.com получен ответ KLAN-11203900726 "Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:quarantine.zipФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте." 4. Логи собраны. CollectionLog-2019.10.10-14.30.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 Сканирование в AdwCleaner завершилось AdwCleanerS00.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки включите дополнительно в разделе Базовые действия: Сбросить политики IE Сбросить политики Chrome В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 1. Повторное сканирование с помощью AdwCleaner выполнено. 2. Сканирование с помощью Farbar Recovery Scan Tool выполнено. AdwCleanerC01.txt FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 10 октября, 2019 Share Опубликовано 10 октября, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {28c23aa6-bb2c-11e7-be8b-1c497b03667d} - "F:\iLinker.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f87-6709-11e7-be66-90489aca49dc} - "F:\setup.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {69c46f96-6709-11e7-be66-90489aca49dc} - "G:\Autorun.exe" HKU\S-1-5-21-720443254-957065752-1208379274-1001\...\MountPoints2: {ef23ba27-6ded-11e7-be6d-1c497b03667d} - "E:\installer.exe" GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {01DE4B91-72A4-42BB-B736-FE1E3C560C45} - System32\Tasks\Steam_x64-S-2-106-91 => "C:\Users\user\AppData\Roaming\MumboJumbo\CODEXi\Steam" [Argument = gtbot2014.] <==== ATTENTION Task: {7C3C414F-DBCA-4BF1-961A-60B20F6EC824} - System32\Tasks\DriverPack Cloud => C:\Program Files (x86)\DriverPack Cloud\cloud.exe Task: {AFDE891E-E1EF-4962-A4B7-DBD4C0ABB477} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m HKU\S-1-5-21-720443254-957065752-1208379274-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m URLSearchHook: HKU\S-1-5-21-720443254-957065752-1208379274-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2018-10-12] FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=ffhp15.1.11.102&inline_hp_cnt=11956636 CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m CHR NewTab: Default -> Active:"chrome-extension://beliehdniadoecbonbhlcgbdldccfigp/visual-bookmarks.html" C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-720443254-957065752-1208379274-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [beliehdniadoecbonbhlcgbdldccfigp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] - hxxps://clients2.google.com/service/update2/crx U3 aswbdisk; no ImagePath S1 IMFCameraProtect; \??\C:\Windows\system32\drivers\IMFCameraProtect.sys [X] S3 IMFDownProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFDownProtect.sys [X] S4 IMFFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [X] S3 IMFForceDelete; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFForceDelete.sys [X] S1 IMFMBRProtect; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFMBRProtect.sys [X] S1 IMFSafeBox; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\IMFSafeBox.sys [X] S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win7_x64.sys [X] S3 IUProcessFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IUProcessFilter.sys [X] S3 IURegistryFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win7_amd64\IURegistryFilter.sys [X] S3 RegFilter; \??\C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [X] 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\ProgramData\IObit 2019-10-10 16:25 - 2018-10-12 09:38 - 000000000 ____D C:\Program Files (x86)\IObit 2019-10-06 12:07 - 2018-04-12 19:14 - 000000000 ____D C:\ProgramData\AVAST Software 2019-10-01 11:25 - 2018-10-12 09:39 - 000000000 ____D C:\ProgramData\ProductData 2018-04-12 19:04 - 2019-09-22 14:43 - 000000766 _____ () C:\Users\user\AppData\Local\uBar.lnk ShellIconOverlayIdentifiers: [ IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll -> No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152] FirewallRules: [{F4AFE690-90BB-4582-91E9-AD8E9BCB707D}] => (Allow) C:\Users\user\AppData\Local\Temp\DRPSu17\bin\tools\aria2c.exe No File FirewallRules: [{F948BC32-5F02-473C-B4D6-1BA23DEB4677}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File FirewallRules: [{C9958A66-3323-4575-9430-65E07D55778F}] => (Allow) C:\Users\user\AppData\Local\MediaGet2\mediaget.exe No File FirewallRules: [TCP Query User{D8F32C9E-8E8C-408F-85F5-5EB740A06ED2}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File FirewallRules: [UDP Query User{60FA1BBA-0FBB-482B-8403-0D3EC4555017}C:\users\user\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\user\appdata\local\mediaget2\mediaget.exe No File FirewallRules: [{F66A5ADF-2B20-463D-89AE-55E829DA8A8A}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File FirewallRules: [{5F86B38F-1D0D-4252-ACD0-2C318679F4F4}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe No File FirewallRules: [{864B9A39-0E04-4626-802D-4EA2D1A793B7}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File FirewallRules: [{70CA28A0-4572-4783-81F9-83A10F6E19A2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 10 октября, 2019 Автор Share Опубликовано 10 октября, 2019 Сделано Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Зависания и разрывы связи с интернет пропали. Долгая загрузка Windows осталась и Kaspersky Free обнаружил подозрительные объекты Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Скачайте Malwarebytes' Anti-Malware. Установите и запустите. На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Сделано. Файл прикрепил scan.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 857 Опубликовано 11 октября, 2019 Share Опубликовано 11 октября, 2019 Удалите (поместите в карантин) все, кроме двух последних PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Проигнорировано пользователем, [254], [454830],1.0.12853 PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [254], [454830],1.0.12853 Так MBAM реагирует на поиск от mail.ru, являющийся дефолтным для русской версии браузера. 1 Ссылка на сообщение Поделиться на другие сайты
eansmol 0 Опубликовано 11 октября, 2019 Автор Share Опубликовано 11 октября, 2019 Сделано. Программа не запросила перезагрузку и не создала отчет о перемещении в карантин Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения