Брат принес системный блок. Говорит пк убитый. Ну посмотрел, не такой уж и убитый. Но переодически касперский орет на разорванное соединение. Логи прилагаю, скриншот есть.
Брат принес системный блок. Говорит пк убитый. Ну посмотрел, не такой уж и убитый. Но переодически касперский орет на разорванное соединение. Логи прилагаю, скриншот есть.
Уважаемый(ая) Delphilove, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis (из каталога автологгера) профиксить
Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://slightsearch.ru/?ri=1&uid=f129c246537caf8a7b09bf583d5ebd95&q={searchTerms} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8090 R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O3 - Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll (file missing) O4 - HKLM\..\Policies\Explorer\Run: [35119575-B43C-485E-A585-2D91BB062B44] "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe" /S O22 - ScheduledTask: (Ready) A35119575-B43C-485E-A585-2D91BB062B44 - \Microsoft\Windows - "C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe" --getinstall-ppapi-plugin (file missing) O22 - ScheduledTask: (Ready) KRB Updater Utility Service - \Microsoft\KRBUUS - "C:\ProgramData\KRB Updater Utility\krbupdater.exe" /S (file missing) O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта перезагрузите сервер вручную.Код:begin DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); QuarantineFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe',''); QuarantineFileF('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0); QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe',''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe',''); QuarantineFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe',''); DeleteFile('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75\29CCACA9-C618-4AF9-8E4D-3305ABECB3C2.exe','32'); DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32'); DeleteFile('C:\Users\User\AppData\LocalLow\SearchGo\searchgo.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Adobe\PPAPI\35119575-B43C-485E-A585-2D91BB062B44\F571F301-9D19-4514-93C9-5D583B9BC2A6.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A35119575-B43C-485E-A585-2D91BB062B44','32'); DeleteFileMask('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75', '*', true, ' '); DeleteDirectory('C:\Program Files\Common Files\9BA6658C-7028-4A92-8431-48144A6F9A75'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','35119575-B43C-485E-A585-2D91BB062B44'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
adwcleaner нашел где то 82 угрозы. Прилагаю отчет:
Результат загрузки
Файл сохранён как 170109_180337_quarantine_5873a649c9e3a.zip
Размер файла 3190
MD5 a43507f347fd45f7e52e0e2d9b7663cb
Файл закачан, спасибо!
- - - - -Добавлено - - - - -
Посмотрел лог AdWcleane, удалять все что он нашел?
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] CHR Extension: (New Tab - Winter Animation) - C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2017-01-09] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-05-30] 2016-09-07 20:32 - 2016-09-07 20:32 - 0000001 _RHOT () C:\ProgramData\KRB Updater Utility C:\Users\User\AppData\Local\Temp\downloader.exe C:\Users\User\AppData\Local\Temp\msxml6-KB927977-enu-x86.exe C:\Users\User\AppData\Local\Temp\Setup-punto.exe C:\Users\User\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\User\AppData\Local\Temp\SkypeSetup.exe C:\Users\User\AppData\Local\Temp\yupdate-exec-punto.exe C:\Users\User\AppData\Local\Temp\yupdate-exec-yabrowser.exe CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3613666941-1839424026-582891316-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File Task: {9B07C6DE-26DF-4131-876C-8B426B317370} - \Обновление Браузера Яндекс -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124] Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
логи модерируются
Потому что ответить можно и без нажатия кнопки Ответить с цитированием
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Пока случаев не наблюдалось. Спасибо за помощь, очень приятно, что есть люди которые помогают избавиться от вирусов.
- - - - -Добавлено - - - - -
Тем более на не своих компах
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Delphilove, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.