Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?

Ссылка на сообщение
Поделиться на другие сайты

Автологер запускается, но на этапе открытия браузеров закрывается, я даже не успеваю понять, что происходит. Соответственно, архива с логами тоже нет.

 

В дополнение: нашел в сети, как можно запустить установку KVRT. Теперь она запускается и сразу вылетает.

Изменено пользователем Danchik
Дополнение
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этот же вирус не пускает на форум через ПК. Есть возможность зайти на форум, потому как через мобильное устройство неудобно скачивать программы?

 

После AVbr форум заработал, да и установка KVRT тоже перестала вылетать. Пока утилиты, помимо указанных, не трогаю. Что-то нужно ещё сделать? 
Отправляю логи:

CollectionLog-2022.07.12-15.11.zipAV_block_remove_2022.07.12-15.03.log
 

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, продолжаем:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    2022-07-12 15:48 - 2022-07-12 15:48 - 000000000 ____D C:\KRD2018_Data
    Unlock: C:\FRST
    Unlock: C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:19 - 000000000 ____D C:\KVRT2020_Data
    2022-07-11 21:32 - 2022-07-12 15:04 - 000000000 ____D C:\Program Files\RDP Wrapper
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\Program Files (x86)\IObit
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\AdwCleaner
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\WavePad
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\RobotDemo
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\PuzzleMedia
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\FingerPrint
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\Evernote
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Ravantivirus
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Rainmeter
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Process Lasso
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\DrWeb
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\AV
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Bitdefender Agent
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 ____D C:\Users\Даня\AppData\Roaming\RMS_settings
    2022-07-11 21:31 - 2022-07-11 21:31 - 000000000 ___HD C:\Users\John
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{BCF0EC78-DF4A-431F-8FC7-19A753E21579}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{226087D9-83B1-4E4C-926A-8815C5387112}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{FCBCC7C2-77CE-4377-B041-EECEA33A8FB6}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{C82B177F-1929-452B-B974-67918CF52B57}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{7517CB7B-705F-4341-AE2D-096918DF7372}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{CCFAFD3E-8110-45BD-BDF2-977793C7A5CD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{C581079E-A704-4C5E-BDCA-E4AD63EC18A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Что сейчас с проблемой?

Кстати, вы не описали как проявлялось и по какой причине стали пытаться лечить.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Начну с того, что на компьютере вообще отсутствуют антивирусы ввиду того, что я придерживаюсь мнения: "Если кому-то нужно заразить устройство, он и с антивирусом это сделает".

В общем, вчера качал я игры с сайта burytor.
В одном из торрентов скачался файл "игры". При установке он назывался так же.
Я, не придав этому никакого значения, после установки, увидев всё-таки файл "Игры", решил удалить его.
После этого ноутбук начал зверски греться. По началу я подумал, что это из-за поверхности, на которой он был установлен 🤣.

Сегодня с утра, решил провести проверку на вирусы и полез на сайты для скачивания. Ни один сайт с антивирусами просто не открывался.

В конечном итоге, удалось скачать KVRT, KRD, HitmanPro, DrWeb LiveDisk. KVRT и Hitman не запускались.  
Записал на флешку KRD, а дальше Вы знаете. С LiveDisk та же лажа.
Больше придумать ничего не смог, стал звонить в поддержку DrWeb, где был отправлен разбираться сам ввиду отсутствия платной подписки.
Позвонил в поддержку Kaspersky, меня отправили на форум Community.Kaspersky. 
Введя в поиске, наткнулся на форум, на котором Вы помогли мне решить вопрос.

До сегодняшнего дня с форумом этим не сталкивался, все вирусы всегда лечились Хитманом.

Впервые узнал о том, что программа для записи логов может еще и подлечить мой компьютер :)

 

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу. Отпишусь после этого.

 

---------------------------
 

Спасибо Вам ОГРОМНОЕ. Без Вас у меня бы ничего не получилось.
 

 

Насчёт проблемы: не решилась.

До сих пор при запуске KRD просто горит черный экран и ноутбук не отвечает.

Изменено пользователем Danchik
Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Danchik сказал:

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу

Верно, уже нет смысла.

 

А смысл есть проделать завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Karibke
      От Karibke
      Здравствуйте, поймал майнер. При попытке открыть расположение процесса закрывает проводник, диспетчер и браузер; некоторые страницы в браузере либо не открываются, либо вообще закрывает браузер. 
      Логи сняты в безопасном режиме. 
      Заранее спасибо за отклик. 
      CollectionLog-2022.08.29-03.48.zip
    • Arxangelskiy
      От Arxangelskiy
      Доброго времени суток! Уже бесчисленное кол-во я продолжаю в ручную закрывать майнер на своём ПК через диспетчер задач (Кнопкой завершить процесс), после захожу в папку майнера (Открыть путь файла или что-то такое - так же в диспетчере задач) и удаляю папку с этим вирусом. НО! Каждый раз, как включаю ПК, эта зараза вновь появляется по тому же пути в файловой системе и продолжает греть видеокарту. Как можно избавиться от этого?
      Ни один антивирус не видит майнер.
      Название процесса: Nvidia GPU Miner 
      Фото процесса: прилагаю
      Система: Windows 10

    • tezeract
      От tezeract
      Доброго времени суток! 
      недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 
      пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером
      я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt
    • Sarfalse
      От Sarfalse
      Здравствуйте, у меня такая же проблема. 
      Подойдет ли этот скрипт или нет? 
      Вот мой CollectionLog
       
      Сообщение от модератора thyrex Перенесено из темы CollectionLog-2022.06.24-14.33.zip
×
×
  • Создать...