Gramlin 0 Опубликовано 24 июня, 2022 Share Опубликовано 24 июня, 2022 Вирус Wemaeye.A в папке C:\Windows\Temp создает dll файлы через каждые 10 минут. Антивирусы реагируют только на файлы dll. Логи прикрепляю. Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 24 июня, 2022 Автор Share Опубликовано 24 июня, 2022 CollectionLog-2022.06.24-10.01.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 24 июня, 2022 Share Опубликовано 24 июня, 2022 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); DeleteSchedulerTask('Microsoft\Windows\MUI\1735688375'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64'); DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64'); DeleteFileMask('c:\programdata\realtekhd', '*', true); DeleteDirectory('c:\programdata\realtekhd'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 24 июня, 2022 Автор Share Опубликовано 24 июня, 2022 CollectionLog-2022.06.24-19.29.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 25 июня, 2022 Share Опубликовано 25 июня, 2022 Логи уже выглядят значительно лучше. Но для верности посмотрим ещё так: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 28 июня, 2022 Автор Share Опубликовано 28 июня, 2022 Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 июня, 2022 Share Опубликовано 28 июня, 2022 Остались следы от предыдущего заражения. Очистим. Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe Как вариант, можно воспользоваться специальной версией. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новые логи FRST.txt и Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 28 июня, 2022 Автор Share Опубликовано 28 июня, 2022 FRST.txtAddition.txtAV_block_remove_2022.06.28-21.23.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 29 июня, 2022 Share Опубликовано 29 июня, 2022 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {B497296C-A3D1-4502-8D35-47B69F798D84} - System32\Tasks\scr => lightshot.exe (Нет файла) AlternateDataStreams: C:\Users\baran\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\baran\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 9 июля, 2022 Автор Share Опубликовано 9 июля, 2022 Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 июля, 2022 Share Опубликовано 10 июля, 2022 Что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Gramlin 0 Опубликовано 12 июля, 2022 Автор Share Опубликовано 12 июля, 2022 Проблемы нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 июля, 2022 Share Опубликовано 13 июля, 2022 Хорошо. В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.