Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Касперcкий не может удалить ...\System32\Mifreplax64.dll (http://forum.oszone.net/showthread.php?t=312187)

XEN_STRANGER 01-03-2016 06:40 2611663
Касперcкий не может удалить ...\System32\Mifreplax64.dll
 
Вложений: 1
Доброе время суток,

Kaspersky Internet Security 14 обнаружил угрозу под названием Mifreplax64.dll в System32 и предложил удалить вредоносный файл. Я подтверждаю удаление, после чего антивирус требует перезагрузку для завершения дизинфекции, чему я и следую. Однако, после перезагрузки, антивирус вновь обнаруживает тот же самый файл в том же месте и опять предлагает удалить угрозу, после чего следует ещё один запрос о перезагрузке для завершения дизинфекции. Я повторял это по кругу несколько раз безрезультатно.

Установил Kaspersky Virus Removal Tool, но утилита ничего не находит, выдавая пустые результаты.

Live CD не вариант, так как у меня нет DVD-ROM. Буду благодарен за инструкции по использованию внешнего жесткого диска в этих целях.

Заранее спасибо,
Роман

thyrex 01-03-2016 18:48 2611864
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat','');
 DeleteFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\Nhfuoag','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

XEN_STRANGER 01-03-2016 20:21 2611885
Вложений: 1
Всё выполнил.

regist 01-03-2016 21:00 2611894
1) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat', '');
 QuarantineFile('C:\Windows\System32\drivers\etc\hosts', '');
 QuarantineFile('C:\ProgramData\{6950C305-E192-4B91-836B-2D1DA29770D8}\PowerMatte-AfterEffects-x64-v2.0.1.lnk', '');
 QuarantineFile('C:\ProgramData\{7541281F-A993-4E9D-9A45-AEB57F64D333}\zMatte-AfterEffects-x64-v3.lnk', '');
 QuarantineFile('C:\ProgramData\{926857A0-22B7-4033-9F19-CF68454D8D0D}\PowerStroke-AfterEffects-x64-v1.0.7.lnk', '');
 QuarantineFile('C:\ProgramData\{9987279E-51AC-4B83-89D4-CDBBE5F7A826}\CompositeSuitePro-AfterEffects-x64-v1.0.0.lnk', '');
 QuarantineFile('C:\ProgramData\{BEEEEDC7-B581-4812-95AC-00E579F91E20}\PowerMask-Photoshop-x64-v1.0.1.1.lnk', '');
 QuarantineFile('C:\ProgramData\{C95D07E3-CE01-494F-A018-CC9DB76E04DE}\EZMask-Photoshop-x64-v2.0.0.1.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GenArts RLM Server\Get RLM HostID.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xilisoft Video Converter Ultimate\Удаление.lnk', '');
 DeleteFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{DBC80044-A445-435b-BC74-9C25C1C588A9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Nhfuoag" /F', 0, 15000, true);
 DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


3)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

XEN_STRANGER 02-03-2016 07:27 2611993
Вложений: 1
Всё делал. quarantine.zip отправлен.

Ссылка на virusinfo_auto_YAVORSKY-PC.zip:
http://www86.zippyshare.com/v/21pgdJDP/file.html

regist 04-03-2016 15:58 2612880
1) Пожалуйста, папки
Код:
C:\ProgramData\{6950C305-E192-4B91-836B-2D1DA29770D8}\
C:\ProgramData\{7541281F-A993-4E9D-9A45-AEB57F64D333}\
заархивируйте в zip архив с паролем virus . Полученный архив закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) и пришлите мне в ЛС ссылку на скачивание.

2)
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

XEN_STRANGER 06-03-2016 08:59 2613232
Вложений: 1
AdwCleaner ничего не обнаружил. Касперский до сих пор ругается на Mifreplax64.dll

regist 06-03-2016 14:18 2613290
Цитата:
Цитата XEN_STRANGER
AdwCleaner ничего не обнаружил. »
А по логу найдены и удалены адварные запис ;).
Ещё раз свежий лог прикрепите.

+
Цитата:
Цитата XEN_STRANGER
Касперский до сих пор ругается на Mifreplax64.dll »

пришлите в карантин по этой инструкции.

XEN_STRANGER 07-03-2016 08:35 2613506
Вложений: 1
Цитата:
Цитата regist
пришлите в карантин по этой инструкции. »
Не выходит добавить в карантин, AVZ выдает ошибку:

regist 07-03-2016 14:43 2613628
Цитата:
Цитата XEN_STRANGER
Не выходит добавить в карантин, AVZ выдает ошибку: »
Заархивируйте вручную в zip архив с паролем virus и загрузите на файлообменник без капчи и ссылку мне в ЛС.

+ Сделайте свежий лог AdwCleaner-а.

XEN_STRANGER 08-03-2016 08:40 2613774
Вложений: 1
Цитата:
Цитата regist
+ Сделайте свежий лог AdwCleaner-а. »

regist 08-03-2016 09:48 2613780
1)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


2) сделайте такой лог http://safezone.cc/threads/faq-po-ra...are-v-2.23670/

XEN_STRANGER 12-03-2016 09:16 2615142
Вложений: 1
Цитата:
Цитата regist

regist 14-03-2016 12:17 2615847
Обновление Хрома сами отключили?

Эти программы/папки вам знакомы?
Код:
C:\PROGRAM FILES (X86)\AFLICS\AFTERFLICS.EXE
C:\uninst\
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Registry Keys: 16
Trojan.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AfterFLICS v3, , [3e3f0b7bedac37ffdc8517549c65b14f],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.StormAlerts, HKLM\SOFTWARE\MICROSOFT\TRACING\StormAlerts_RASAPI32, , [de9ff88ed6c3bc7a509a6b06659fb54b],
PUP.Optional.StormAlerts, HKLM\SOFTWARE\MICROSOFT\TRACING\StormAlerts_RASMANCS, , [6e0f2f57d6c3290dedfd274ab64e7888],
PUP.Optional.SearchSnacks, HKLM\SOFTWARE\WOW6432NODE\SearchSnacks, , [f08d2d595445e84e6a63e7399f65ac54],
PUP.Optional.Spigot, HKU\S-1-5-21-1357698520-2458336588-3624954833-1000\SOFTWARE\APPDATALOW\SOFTWARE\Vuze Remote, , [e29b9cea81182c0a7dd10d1874907b85],
Folders: 7
PUP.Optional.OptimizerPro, C:\Users\YAVORSKY-WORKSTATION\Documents\Optimizer Pro, , [a7d6b5d13a5fe452ef299d7bf31111ef],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.PureLeads, C:\Program Files (x86)\PureLeads, , [1c61077ff1a8fe380a1e17e517eb28d8],
PUP.Optional.Yontoo, C:\Program Files (x86)\Common Files\457082ba-095e-4f86-8a98-c078f3146538, , [cfaefc8ad4c5ba7c938b2edf15ee20e0],
PUP.Optional.Yontoo, C:\Program Files (x86)\Common Files\457082ba-095e-4f86-8a98-c078f3146538\Updater, , [cfaefc8ad4c5ba7c938b2edf15ee20e0],
PUP.Optional.OptimizerPro, C:\Users\YAVORSKY-WORKSTATION\Documents\Optimizer Pro\CookiesException.txt, , [a7d6b5d13a5fe452ef299d7bf31111ef],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0\localStorageIE.txt, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0\localStorageIE_backup.txt, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.HijackHosts.Gen, C:\Windows\System32\cukn\bhz\mayp.dat, , [1e5ff294782170c62b80d95fd035629e],
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

XEN_STRANGER 20-03-2016 01:32 2617876
Вложений: 1
Цитата:
Цитата regist
Обновление Хрома сами отключили? »
Нет! Удаление тех записей устранит проблему или нужно что-то дополнительно сделать, чтобы пофиксить это?

Цитата:
Цитата regist
Эти программы/папки вам знакомы? »
Первая - это сервер линцензии от плагина для 3ds max (я удалил его, поскольку он мне не нужен). Вторая папка мне не знакома (также удалил эти записи в MBAM).

Новый MBAM скан провел, лог прикреплён.

P.S. Странно, что MBAM не находит ничего касательно Mifreplax64.dll, KIS до сир пор ругается на него:

XEN_STRANGER 25-03-2016 08:01 2619576
regist, будут ли дальнейшие инструкции?

iskander-k 25-03-2016 20:34 2619820
Попробуйте сами найти этот файл по указанному адресу. Файл может быть с атрибутом скрытый. Для этого снимите галочку с пункта скрывать системные и защищенные файлы(потом вернете обратно). Если этого файла нет то скорее всего касперский фолсит.


Время: 22:05.

Время: 22:05.
© OSzone.net 2001-