Имя файла: CL.Downloader!gen11

**ReneGA** · 28.04.2019, 14:27

Добрый день.
У меня такая проблема, с часто периодичностью выскакивает сообщение от Нортон
Имя файла: CL.Downloader!gen11
Полный путь: Недоступно

____________________________

____________________________

На компьютерах, начиная с
Недоступно

Последнее использование
28.04.2019 в 14:05:24

Элемент автозагрузки
Нет

Запущен
Нет

Тип угрозы: Эвристический поиск вирусов. Обнаружение угрозы на основе эвристического анализа.

____________________________

CL.Downloader!gen11
Обнаружение

Неизвестно

Неизвестно
Время выпуска файла неизвестно.

Высокий
Уровень угрозы файла: высокий.

____________________________

Источник: внешний носитель

____________________________

Действия с файлом

Файл: powershell.exe (CL.Downloader!gen11) Попытка исправления не предпринималась
____________________________

Идентификационный отпечаток файла - SHA:
Недоступно
Идентификационный отпечаток файла - MD5:
Недоступно

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.04.2019, 14:28

Уважаемый(ая) ReneGA, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 28.04.2019, 20:45

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Customer Experience Improvement Program\Customer Experience Improvement Program" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте новые логи с помощью Autologger по правилам.

**ReneGA** · 28.04.2019, 21:36

Сделал.

**Vvvyg** · 28.04.2019, 22:56

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cool Edit Pro 2.0\Cool Edit Pro 2.0 .lnk"           -> ["C:\Program Files (x86)\coolpro2\coolpro2.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cool Edit Pro 2.0\Uninstall Cool Edit Pro 2.0.lnk"  -> ["C:\Program Files (x86)\coolpro2\cep2unin.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Windows\SendTo\Cool Edit Pro 2.0.lnk"        -> ["C:\Program Files (x86)\coolpro2\coolpro2.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от COOLGAMES\Лучшие онлайн игры на www.coolgames.org.ua.lnk"  -> ["C:\Users\Zver\AppData\Local\coolgames\Online Gаmes.URL"]
>>>  "C:\Users\Zver\AppData\Local\uBar.lnk"        -> ["C:\ProgramData\uBar\uBar\uBar.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O2-32 - HKLM\..\BHO: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O17 - DHCP DNS 3: 172.93.96.62
O17 - DHCP DNS 4: 145.249.107.234
O17 - DHCP DNS 5: 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 145.249.107.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 172.93.96.62

Проблема решена?

**ReneGA** · 29.04.2019, 19:02

Спасибо. проблема решена. Последние ещё не сделал. Сейчас сделаю.

- - - - -Добавлено - - - - -

Сделал

- - - - -Добавлено - - - - -

Сообщение от Vvvyg

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cool Edit Pro 2.0\Cool Edit Pro 2.0 .lnk"           -> ["C:\Program Files (x86)\coolpro2\coolpro2.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cool Edit Pro 2.0\Uninstall Cool Edit Pro 2.0.lnk"  -> ["C:\Program Files (x86)\coolpro2\cep2unin.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Windows\SendTo\Cool Edit Pro 2.0.lnk"        -> ["C:\Program Files (x86)\coolpro2\coolpro2.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от COOLGAMES\Лучшие онлайн игры на www.coolgames.org.ua.lnk"  -> ["C:\Users\Zver\AppData\Local\coolgames\Online Gаmes.URL"]
>>>  "C:\Users\Zver\AppData\Local\uBar.lnk"        -> ["C:\ProgramData\uBar\uBar\uBar.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O2-32 - HKLM\..\BHO: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O17 - DHCP DNS 3: 172.93.96.62
O17 - DHCP DNS 4: 145.249.107.234
O17 - DHCP DNS 5: 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 145.249.107.234
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 172.93.96.62

Проблема решена?

HijackThis - не нашёл данную программу в папке Autologger

**Vvvyg** · 29.04.2019, 20:13

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ".

В одноимённой папке должен быть. Пробуйте такою версию Autologger.

**ReneGA** · 29.04.2019, 22:05

Извиняюсь, тупанул.
Всё вроде сделал. Проблема себя больше не проявляла, спасибо.
Антивирус повис наглухо, буду переустанавливать.

**Vvvyg** · 29.04.2019, 22:31

Пофиксите ещё в HijackThis:

Код:

O17 - DHCP DNS 3: 172.93.96.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CDEB480-9CFB-48FC-8F14-C66DE6DFE5C2}: [NameServer] = 172.93.96.62
O22 - Task: \Microsoft\Windows\Maintenance\WinNAT - C:\ProgramData\Windows\Profile\1.vbs

и всё на этом.

**ReneGA** · 30.04.2019, 18:12

Большое спасибо!!!

Имя файла: CL.Downloader!gen11 (заявка № 222646)

Опции темы