Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Автологер запускается?

Нет, вообще ничего. Просто черный экран.

 

Ссылка на сообщение
Поделиться на другие сайты

Автологер запускается, но на этапе открытия браузеров закрывается, я даже не успеваю понять, что происходит. Соответственно, архива с логами тоже нет.

 

В дополнение: нашел в сети, как можно запустить установку KVRT. Теперь она запускается и сразу вылетает.

Изменено пользователем Danchik
Дополнение
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этот же вирус не пускает на форум через ПК. Есть возможность зайти на форум, потому как через мобильное устройство неудобно скачивать программы?

 

После AVbr форум заработал, да и установка KVRT тоже перестала вылетать. Пока утилиты, помимо указанных, не трогаю. Что-то нужно ещё сделать? 
Отправляю логи:

CollectionLog-2022.07.12-15.11.zipAV_block_remove_2022.07.12-15.03.log
 

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, продолжаем:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    2022-07-12 15:48 - 2022-07-12 15:48 - 000000000 ____D C:\KRD2018_Data
    Unlock: C:\FRST
    Unlock: C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
    2022-07-11 21:32 - 2022-07-12 15:19 - 000000000 ____D C:\KVRT2020_Data
    2022-07-11 21:32 - 2022-07-12 15:04 - 000000000 ____D C:\Program Files\RDP Wrapper
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\Program Files (x86)\IObit
    2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\AdwCleaner
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\WavePad
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\RobotDemo
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\PuzzleMedia
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\FingerPrint
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\Evernote
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Ravantivirus
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Rainmeter
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Process Lasso
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\DrWeb
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\AV
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Bitdefender Agent
    2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 ____D C:\Users\Даня\AppData\Roaming\RMS_settings
    2022-07-11 21:31 - 2022-07-11 21:31 - 000000000 ___HD C:\Users\John
    HKU\S-1-5-21-1791479987-4018198629-676133719-1002\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{BCF0EC78-DF4A-431F-8FC7-19A753E21579}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{226087D9-83B1-4E4C-926A-8815C5387112}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{FCBCC7C2-77CE-4377-B041-EECEA33A8FB6}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{C82B177F-1929-452B-B974-67918CF52B57}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{7517CB7B-705F-4341-AE2D-096918DF7372}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{CCFAFD3E-8110-45BD-BDF2-977793C7A5CD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{C581079E-A704-4C5E-BDCA-E4AD63EC18A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Что сейчас с проблемой?

Кстати, вы не описали как проявлялось и по какой причине стали пытаться лечить.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Начну с того, что на компьютере вообще отсутствуют антивирусы ввиду того, что я придерживаюсь мнения: "Если кому-то нужно заразить устройство, он и с антивирусом это сделает".

В общем, вчера качал я игры с сайта burytor.
В одном из торрентов скачался файл "игры". При установке он назывался так же.
Я, не придав этому никакого значения, после установки, увидев всё-таки файл "Игры", решил удалить его.
После этого ноутбук начал зверски греться. По началу я подумал, что это из-за поверхности, на которой он был установлен 🤣.

Сегодня с утра, решил провести проверку на вирусы и полез на сайты для скачивания. Ни один сайт с антивирусами просто не открывался.

В конечном итоге, удалось скачать KVRT, KRD, HitmanPro, DrWeb LiveDisk. KVRT и Hitman не запускались.  
Записал на флешку KRD, а дальше Вы знаете. С LiveDisk та же лажа.
Больше придумать ничего не смог, стал звонить в поддержку DrWeb, где был отправлен разбираться сам ввиду отсутствия платной подписки.
Позвонил в поддержку Kaspersky, меня отправили на форум Community.Kaspersky. 
Введя в поиске, наткнулся на форум, на котором Вы помогли мне решить вопрос.

До сегодняшнего дня с форумом этим не сталкивался, все вирусы всегда лечились Хитманом.

Впервые узнал о том, что программа для записи логов может еще и подлечить мой компьютер :)

 

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу. Отпишусь после этого.

 

---------------------------
 

Спасибо Вам ОГРОМНОЕ. Без Вас у меня бы ничего не получилось.
 

 

Насчёт проблемы: не решилась.

До сих пор при запуске KRD просто горит черный экран и ноутбук не отвечает.

Изменено пользователем Danchik
Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Danchik сказал:

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу

Верно, уже нет смысла.

 

А смысл есть проделать завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tezeract
      От tezeract
      Доброго времени суток! 
      недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 
      пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером
      я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt
    • Sarfalse
      От Sarfalse
      Здравствуйте, у меня такая же проблема. 
      Подойдет ли этот скрипт или нет? 
      Вот мой CollectionLog
       
      Сообщение от модератора thyrex Перенесено из темы CollectionLog-2022.06.24-14.33.zip
    • dirtyqsh
      От dirtyqsh
      Вчера поймал майнер с кривого репака, два процесса nt kernel грузили систему. По открытию расположения файла вели к несуществующим папкам. Стереть вроде смог, опасаюсь за остаточные файлы. 
      CollectionLog-2022.06.21-11.46.zip
    • Данила1989
      От Данила1989
      Добрый день.Помогите разобраться с домашним ПК.Ситуация следующая: собрал пк.При включении все кулера крутят,а изображения нету.Все детали на 100% рабочие,проверял на другом системнике видеокарта рабочая,озу рабочее,бп рабочий ватности более чем достаточно,винчестер рабочий,проц рабочий.Батарейки доставал,менял на новую и перемычки переставлял,кабеля все новые.Проблема этой материнки что спикер молчит вообще все время,незнаю почему подкидывал от корпуса и потом другой пробовал.Незнаю что уже делать.Может то что на винчестере уже стоит винда?Еще одно на корпусе системного блока две диодных лампочки,красная загорается и мигает это HDD работает,а зеленая не горит,раньше горела,все штекеры перепроверил,все подключено по мануалу.Все по несколько раз доставал и перестовлял,результат один,все работает изображения нету(( Материнская плата A55M-P33 fm1,проц X4 631 fm1,gtx470,БП500w,озу 4gb не знаю но рабочая на 100% под AMD 1066.hdd 320gb с виндой 10про.
×
×
  • Создать...