-
Здравствуйте,
Я процитировал сообщение от ЛК, но мне кажется все таки это ложное срабатывание, вы главное сами ничего не удаляйте, я подготовил новый фикс FRST для анализа теории ЛК.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\WINDOWS\System32\drivers\7538B094.sys
Zip: C:\WINDOWS\System32\drivers\7538B094.sys
Folder: C:\DOCUME~1\user\LOCALS~1\Temp
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
Reboot:
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Соберите необходимые логи, которые я указал в ЛС.
Также приложите пожалуйста новые логи FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 41
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
Folder: C:\Documents and Settings\All Users\Application Data\s3j4
Folder: C:\Documents and Settings\All Users\Application Data\s334
Folder: C:\Documents and Settings\All Users\Application Data\s304
Folder: C:\Documents and Settings\All Users\Application Data\scs
Folder: C:\Documents and Settings\All Users\Application Data\sak
Folder: C:\Documents and Settings\All Users\Application Data\s1ak
File: C:\WINDOWS\system32\spmsg2.dll
2018-12-31 16:21 - 2018-12-31 16:21 - 000000000 ____D C:\Documents and Settings\user\Application Data\DRPNPS
File: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
Folder: C:\Program Files
Virustotal: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
ContextMenuHandlers1_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
ContextMenuHandlers4_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
ContextMenuHandlers5_S-1-5-21-682003330-1177238915-1606980848-1005: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} => C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll -> No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{144e696e-5d45-49b9-94bd-507f7462eb84}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{1a87d67b-23d3-4b8f-9f9b-7cd30c1c95bd}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{3139de55-4560-4239-9330-2230f9b89929}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_15_b0.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{68F469E6-0D31-41FE-A9B6-95ADE76761F1}\InprocServer32 -> C:\DOCUME~1\user\APPLIC~1\GARANT~2\@com\F1Shell.dll => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{767f9370-451a-43b0-b590-d32f7b1e5f8c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{a12ffdf7-199d-4469-8c20-98a3de73ed2c}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_13_a8.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_19_7a.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Temp\v8_2C_5c.tmp => No File
CustomCLSID: HKU\S-1-5-21-682003330-1177238915-1606980848-1005_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\user\Application Data\Dropbox\bin\DropboxExt.3.0.dll => No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08646138.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40550724.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\54269950.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\56580713.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83720508.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08646138.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40550724.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\54269950.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\56580713.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83720508.sys => ""="Driver"
Reboot:
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 41
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
Virustotal: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
Zip: C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 41
Файл создался. ПК не ушел в перезагрузку. Написал вот https://yadi.sk/i/PJ3Ka-SZpmlycA Файл отправил.
-
Отправил его на исследование, от его результата будет зависит дальнейшие действия.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 41
-
Пришел ответ, о том что в файле нет вредоносного кода.
Код:
C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
Если он вам не известен то можете просто удалить
Уточните пожалуйста, проблема еще проявляется?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 41
После удаления файла KES сругался на https://yadi.sk/i/85XMOSKUdPYUWg ссылку на файл который ругается в архиве в личке.
После лечения с перезагрузкой проверка важных областей проходит без обнаружения. Запущена полная проверка.
Перед удалением (C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys) были обновлены базы Касперского.
После полной проверки найден файл. В хранинилище следующее https://yadi.sk/i/OioJtDQRkYGnWQ. Подкинул другой диск с копией системы пока базы не обновил не находил вирус.
Последний раз редактировалось CRASH_vs; 11.01.2019 в 16:18.
-
Спасибо за детали,
Мне сообщили, что было в последних логах найдено вредоносное ПО и в ближайщее время будет добавлено в антивирусные сигнатуры:
На компьютере пользователя найдена и задетектирована недетектируемая вредоносная программа (malware).
Проблема должна устраниться в ближайшее время с выходом новых обновлений АВ баз.
Спасибо за сотрудничество.
- - - - -Добавлено - - - - -
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
- - - - -Добавлено - - - - -
При этом важно сменить все пароли при нахождние на ПК вредоносного ПО катаегории Trojan-Spy.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 7
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
-