Олег Степаненков 0 Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 Приветствую! Подхватил скрытый майнер. Вроде бы всё удалил, сначала вручную, потом воспользовался программами: -Web CureIt! -Kaspersky Virus Removal Tool; -COMODO Cleaning Essentials; -Junkware Removal Tool; Каждая выдавала какие-то подозрительные файлы, с ними тоже разобрался. Хотелось бы удостовериться, что майнер был удален полностью. В прикреплении находится лог программы AutoLogger CollectionLog-2017.12.03-02.14.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 3 декабря, 2017 Share Опубликовано 3 декабря, 2017 0) -Junkware Removal Tool; Вообще не советую ей пользоваться.Имеет очень много фолсов. Удаляет всё что ей не понравится сразу и безвозвратно. А сейчас разработка этой утилиты вообще прекращена. 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: [CyberGhost] C:\Program Files\CyberGhost 6\CyberGhost.exe /autostart /min (file missing) (HKCU) (2017/02/24) O4 - MSConfig\startupreg: [autoDENGI] C:\Users\Oleg\AppData\Local\autoDENGI App\autoDENGI.exe (file missing) (HKCU) (2017/01/12) O22 - Task (Ready): \Lenovo\Lenovo Customer Feedback Program 64 35 - C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe (file missing) O22 - Task (Ready): \Systasks\ServiceRun - C:\ProgramData\SystemIdle.exe (file missing) O22 - Task (Ready): \System\SecurityServiceUpdate - C:\Users\Oleg\AppData\Roaming\Windows\Bot.exe (file missing) 4) Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Олег Степаненков 0 Опубликовано 3 декабря, 2017 Автор Share Опубликовано 3 декабря, 2017 0) ну что сделано, то сделано. взад ничего не вернуть 1) не загружает архив через форму. попробую завтра утром еще раз загрузить. Скрин: 2) отчет ClearLNK прикрепил3) пофиксил, все строки былипосле перезагрузился 4) отчет в прикрепе ClearLNK-03.12.2017_22-58.log malware.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 3 декабря, 2017 Share Опубликовано 3 декабря, 2017 Удалите в MBAM всё кроме RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [387], [352776],1.0.3402 Trojan.Agent, C:\WINDOWS\LOADER.EXE, Проигнорировано пользователем, [18], [207332],1.0.3402 RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [387], [352776],1.0.3402 Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MIX POSTER\MIX POSTER V6.0.0.1 LOADER_H.EXE, Проигнорировано пользователем, [0], [392686],1.0.3402 Если C:\PROGRAM FILES (X86)\MIX POSTER\MIX POSTER V6.0.0.1 LOADER_H.EXE не знаком, то его тоже удалить.е загружает архив через форму. попробую завтра утром еще раз загрузить. попробуйте сюда загрузить http://avz.safezone.cc/(правда отчёта по файлу тогда не будет). 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Олег Степаненков 0 Опубликовано 4 декабря, 2017 Автор Share Опубликовано 4 декабря, 2017 Удалил в Malwarebytes всё, кроме указанных. е загружает архив через форму. попробую завтра утром еще раз загрузить. попробуйте сюда загрузить http://avz.safezone.cc/(правда отчёта по файлу тогда не будет). Сведения о файле: Размер файла, байт: 30120603 MD5: D76BC5C1E28EDA626BD24440375F9C8F Файл успешно загружен и поставлен в очередь на обработку, спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 декабря, 2017 Share Опубликовано 4 декабря, 2017 (изменено) Деинсталийте MBAM. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Изменено 4 декабря, 2017 пользователем regist 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Олег Степаненков 0 Опубликовано 4 декабря, 2017 Автор Share Опубликовано 4 декабря, 2017 MBAM удалил, из рекомендаций ещё прошелся mbam-clean через скрипт авз поставил все обновления. еще с рекомендаций скачал SecurityCheck, там тоже кое что обновил. на этом всё? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 декабря, 2017 Share Опубликовано 4 декабря, 2017 на этом всё? да. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.