Перейти к содержимому


Фотография
- - - - -

Вирусы на ПК

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 16

#1 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Декабрь 2019 - 13:05

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
 
Так эти объекты идентифицирует Kaspersky free:
18.12.2019 16.55.01;Обнаруженный объект (файл) больше не доступен;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;Worm.NSIS.BitMin.d;Вирус;12/18/2019 16:55:01
 
Проверял cureit, malwarebytes anti-malware, adwcleaner. Ничего не обнаруживают.
Установил все актуальные обновления windows. Не помогло.
 
Помогите пожалуйста справиться.
 
 
 
 
 

 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 18 Декабрь 2019 - 14:54

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64');
 DeleteFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 1
Изображение

#3 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Декабрь 2019 - 05:36

Скрипт выполнил. Новый лог прикрепил.

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 19 Декабрь 2019 - 09:05

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 1
Изображение

#5 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Декабрь 2019 - 11:46

Прикрепил.

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   123,84К   скачиваний 1
  • Прикрепленный файл  Addition.txt   55,09К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 19 Декабрь 2019 - 11:54

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-449436407-1327551154-1634903953-1000\...\MountPoints2: {1dd7e8ea-b800-11e8-a412-309c230be120} - G:\wpi\MInst.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [458]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 1
Изображение

#7 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Декабрь 2019 - 12:44

Сделал и потерял все вкладки в браузере )

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   1,67К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 19 Декабрь 2019 - 12:46

Что сейчас с первоначальной проблемой?
  • 1
Изображение

#9 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Декабрь 2019 - 12:53

Все пакостные папки на прежнем месте )


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 19 Декабрь 2019 - 13:19

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
  • 1
Изображение

#11 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 19 Декабрь 2019 - 13:41

Проверил, отчет uvs прикрепил

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 19 Декабрь 2019 - 14:11

Общие ресурсы:

D:\Users\Admin\Desktop\Scan
D:\Soft
C:\Users
D:\Users\Admin\Desktop\ДШИ

под паролем?

Проверим другие уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#13 OFF   drivemesky

drivemesky

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 20 Декабрь 2019 - 05:21

Да, запаролены, но на диск С доступ я не открывал. Благодарю, прикрыл к нему доступ.

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 20 Декабрь 2019 - 09:20

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.293 Внимание! Скачать обновления
Adobe Acrobat Reader DC MUI v.18.011.20058 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
FlashPeak SlimBrowser 64bit v.11.0.7.0 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#15 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 419

Отправлено 21 Декабрь 2019 - 19:28

После того, как закроете уязвимые места (ссылки из предыдущего сообщения), соберите свежий образ автозапуска uVS. AutorunsVTchecker уже запускать не нужно.
  • 1
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных