Решена Итоги логирования после настройки adw и online esset

Статус
В этой теме нельзя размещать новые ответы.

Wu-Tang

Эксперт клуба THG
Сообщения
213
Реакции
54
логи сняты после adw и online esset.
 

Вложения

  • CollectionLog-2018.07.06-17.54.zip
    89.3 KB · Просмотры: 7
А симптомы какие?

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

C:\Logs\Go.vbs и Object Browser - знакомо?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\com\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Logs\Go.vbs', '');
 QuarantineFile('C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe ', '');
 DeleteFile('C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe ');
 DeleteFile('C:\Users\com\AppData\Roaming\System\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "4de83ab9-8a57-40ae-a245-1e0486f80043-5_user.job" /F', 0, 15000, true);
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O22 - Task (Job): 4de83ab9-8a57-40ae-a245-1e0486f80043-5_user.job - C:\Program Files (x86)\Object Browser\4de83ab9-8a57-40ae-a245-1e0486f80043-5.exe /rawdata=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

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • CollectionLog-2018.07.07-02.46.zip
    88.1 KB · Просмотры: 2
  • Desktop.rar
    27.6 KB · Просмотры: 3
В расширениях браузеров присутствуют одновременно и веб фильтр авира, и разные баннерорезки - советую немного проредить, такое количество никчему.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll [2017-05-30] (AIMP DevTeam)
    ContextMenuHandlers1: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
    ContextMenuHandlers1_S-1-5-21-1052378253-1340381038-3687899826-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [150]
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
    AlternateDataStreams: C:\Users\com\Documents\пароли 22.12.2013.doc:KAVICHS [74]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [150]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [140]
    ShortcutTarget: explorer.lnk -> C:\Logs\Go.vbs (No File)
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-1052378253-1340381038-3687899826-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
    Folder:  C:\Users\com
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Эти файлы и папки, пользователи вам знакомы?

C:\Users\Все пользователи\mklddvci.gqu
C:\ProgramData\mklddvci.gqu
C:\Users\Все пользователи\mntemp
C:\ProgramData\mntemp
 
  • Like
Реакции: E100
>логи сняты после adw
Явно с ним поторопился. Ещё и MBAM запускал. +ещё хвосты и от ComboFix.
И перед созданием темы каждый раз надо скачивать свежий Автологер по ссылке из правил темы. Логи сделаны старым.
 
@Кирилл,
папки потер эти.
@regist,
mbam не запускал, combofix тоже.
autologger качал в день создания темы.
 

Вложения

  • CollectionLog-2018.07.07-15.38.zip
    89.1 KB · Просмотры: 2
  • Fixlog.txt
    6.5 MB · Просмотры: 2
>autologger качал в день создания темы.
Откуда? Ключевое надо качать по ссылке из правил раздела.
Эти логи опять старым собраны.
 
снял логи
 

Вложения

  • CollectionLog-2018.07.08-17.56.zip
    61.3 KB · Просмотры: 5
В логе ничего интересного, кроме заблокированных сертификатов. Даю финальные рекомендации, раз проблем нет.
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
По возможности нужно исправить
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.17609 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.4.0.60310.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 60.0.2 (x64 ru) v.60.0.2 Внимание! Скачать обновления
Opera Stable 53.0.2907.99 v.53.0.2907.99 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.4.5.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 
что-то не понял, те в этом случае можно оставлять его или нет?
 
На ваше усмотрение, если используете оставляйте.
 
понял, ну, вроде все чисто теперь, спасибо.
 
  • Like
Реакции: akok
Для улучшения наших утилит диагностики, пожалуйста, сделайте экспорт этого ключа реестра и прикрепите в архиве к своему сообщению:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу