Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] не удаляется вирус mem:trojan-downloader.Nova.a.mem

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 15

#1 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 03:09

Здравствуйте. Была скачена с просторов интернета программа для игры и запущена (малой хотел установить какой-то чит, при этом отключил антивирус касперсого), в результате началось бесконечная установка какой то программы. Прервал этот процесс перезагрузкой системы, в итоге вирус. касперский удаляет с перезагрузкой, после запуска системы - снова троян, и так продолжается бесконечно, причем постоянно (каждые 5-10 секунд) касперский блокирует переход по вредоносной ссылке. Прошу помочь вылечить систему. 

С уважением, Виктор.

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 18 Октябрь 2019 - 06:24

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger
begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 11:57

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

запустил скрипт, потом проверил систему касперским, нашел угрозы, провел устранение их, после перезагрузки касперский больше ничего не видет но переход по вредоносным ссылкам блокирует. лог прикрепил

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 18 Октябрь 2019 - 14:18

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 17:02

С первого раза не получилось этой программой - было запущено 2 екземпляра - в итоге все задвоилось. по новому провел, архив прикрепил.

Прикрепленные файлы

  • Прикрепленный файл  FRST64.rar   67,81К   скачиваний 2

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 18 Октябрь 2019 - 19:30

1. Выделите следующий код:
Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-10-18 01:38 - 2019-10-18 11:10 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2019-10-18 01:38 - 2019-10-18 11:10 - 000000004 _____ C:\ProgramData\lock.dat
2019-10-18 01:38 - 2019-10-18 02:44 - 000000028 _____ C:\Users\Все пользователи\irw.atsd
2019-10-18 01:38 - 2019-10-18 02:44 - 000000028 _____ C:\ProgramData\irw.atsd
2019-10-18 01:38 - 2019-10-18 01:38 - 000000008 _____ C:\Users\Все пользователи\ts.dat
2019-10-18 01:38 - 2019-10-18 01:38 - 000000008 _____ C:\ProgramData\ts.dat
2019-10-18 01:25 - 2019-10-18 01:25 - 000000000 ____D C:\ProgramData\5ibgn
2019-10-18 01:24 - 2019-10-18 01:26 - 000000000 ____D C:\Users\Viktor\AppData\Roaming\YoutubeDownloader_upd
2019-10-18 01:24 - 2019-10-18 01:24 - 000000000 ____D C:\Users\Viktor\AppData\Roaming\Python
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 20:14

оповещение о блокировке по вредоносной ссылке от касперского  после запуска браузера так же появляется на данный момент

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,88К   скачиваний 0

  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 18 Октябрь 2019 - 21:21

Какой браузер при этом запущен?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 21:38

Какой браузер при этом запущен?

Google Chrome

 

Какой браузер при этом запущен?

Google Chrome

 

 

Прикрепленные файлы


Сообщение отредактировал Виктор Фомин: 18 Октябрь 2019 - 21:39

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 18 Октябрь 2019 - 22:27

Отключите ВСЕ установленные в Хроме расширения и проверьте проблему
  • 1
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Октябрь 2019 - 23:46

Отключите ВСЕ установленные в Хроме расширения и проверьте проблему

спасибо вам, за помощь. Нашел расширение это. отключил и перестали вред.ссылки обнаруживать касперский. удалил его

Прикрепленные файлы

  • Прикрепленный файл  1.PNG   169,37К   скачиваний 0

  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 19 Октябрь 2019 - 00:03

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Октябрь 2019 - 01:24



Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);

  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;

  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;

  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;

  • Процитируйте содержимое файла в своем следующем сообщении.

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 19.10.2019 01:21:09
Path starting: C:\Users\Viktor\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Viktor
VersionXML: 6.91is-13.10.2019
___________________________________________________________________________
 
Windows 10(6.3.18362) (x64) Professional Версия: 1903 Lang: Russian(0419)
Дата установки ОС: 27.09.2019 15:51:37
Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 19776 мин.
Статус лицензии: Office 16, Office16O365HomePremR_Subscription4 edition Срок истечения активации по времени: 59993 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.3 Гб] Занято: [53.2 Гб] Свободно: [58.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.418.18362.0
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (выключен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и устарел)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.19.0.0.1088 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office 365 - ru-ru v.16.0.12026.20334 [+]
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118
TeamViewer 14 v.14.6.4835
TeamViewer 14 (TeamViewer) - Служба работает
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.305
WhatsApp v.0.3.5148
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.19.0.0.1088
--------------------------------- [ P2P ] ---------------------------------
MediaGet v.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------------- [ SPY ] ---------------------------------
UltraVnc v.1.2.2.4 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.270
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 68.0.1 (x64 ru) v.68.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 64.0.3417.61 v.64.0.3417.61 [+]
Google Chrome v.77.0.3865.120
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба остановлена
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet v.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics BoostSpeed v.11.0.1.2 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 6.4.0.392 v.6.4.0.392 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 751

Награды

           

Отправлено 19 Октябрь 2019 - 08:26

Выполните рекомендованное, и на этом закончим.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   Виктор Фомин

Виктор Фомин

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Октябрь 2019 - 10:49

Выполните рекомендованное, и на этом закончим.

Спасибо за помощь. Устраним


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных