Перейти к содержанию
Правила раздела

ВИРУС (1hqup.exe)

ArchiMAX

От ArchiMAX
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\1hqup.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\1hqup.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\1hqup.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds1.dll','');
DeleteFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds1.dll');
DeleteFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\herss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\1hqup.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\1hqup.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\1hqup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Включите Антивирус и Файрвол

- Подключите ПК к интернету/локальной сети

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus" без кавычек. Полученный ответ сообщите здесь.

- Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
Kopeicev Ветеран

Kopeicev

Опубликовано
Опубликовано (изменено)

Топикстартер ты вчера писал что отправлял на ньювирус что ответили?

Snifer67: C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds0.dll ? :)

Изменено пользователем Kopeicev
Ссылка на комментарий
Поделиться на другие сайты
AlexNEW Ветеран

AlexNEW

Опубликовано
Опубликовано (изменено)
Сносить можно :).Гуглить надо.

C:\DOCUME~1\<имя учётной записи>\LOCALS~1\Temp\cvasds0.dll

 

worm.autorun.a

 

Тип: Worm

 

Псевдоним: mal/frethog-b, trojan.win32.inhoo, w32.sillyfdc.bct, trojan-gamethief.win32.magania.bpqc, worm:win32/taterf.b

 

Описание: Worm.Autorun.A червь для Windows платформ. Это червь может быть отброшен другие вредоносные программы. Он может быть загружен по незнанию при посещении пользователем вредоносного веб-сайтов. Worm.Autorun.A заражающий системы таким образом, чтобы дать проблемы для пользователя. Она скрывает системные файлы, Отключить папки, скрывать расширения файлов, запретить автозапуск, отключить редактор реестра, отключение диспетчера задач и включить автоматическое исполнение само по себе.

 

Этот файл нужно удалить :lol:

 

Данную информацию взял с этого сайта http://spyware.scanspyware.net/spyware-rem....a.html?lang=ru

Изменено пользователем Alexsandr56
Ссылка на комментарий
Поделиться на другие сайты
ArchiMAX Постоялец

ArchiMAX

Опубликовано
  • Автор
Опубликовано

Выполнил скрипты.Вот новые логи.Но скрытые файлы все еще не отображается.

 

Топикстартер ты вчера писал что отправлял на ньювирус что ответили?

 

Да я отправил.Мне пришло ответ.

Это сообщение или его часть не может быть опубликована в любых

средствах массовой информации, форумах, конференциях и.т.д, без

предварительного разрешения отправителя.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Добрый день!

 

Да я отправил.Мне пришло ответ.

Смело постите сюда, мы филиал, имеем право.

 

Но скрытые файлы все еще не отображается.

Выполните в AVZ:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

ПК перезагрузится.

 

Посмотрите на реакцию. Если не поможет, то:

 

- Зайдите в Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы

 

b19d683ed2b0.jpg

 

У вас нарушены ассоциациии REG-файлов. Отметьте проблему, нажмите "Исправить".

 

Запустите файлик из вложения:

tweak.rar

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Vyacheslav_G
      Вирус не удаляется
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • nghtmrmdtrd
      John вирус
      От nghtmrmdtrd
      Сегодня утром обнаружил, что цп ноутбука уходит под 100%, как обычно решил проверить его через Dr.Web, сайт мнгновенно закрвается, старые .exe др веб в загрузках тоже были удалены, попробовал откат на 2 дня, не проконтролировал нехватку памяти после чего откат не удался, а когда зашел снова в точку возврата, было написано что контрольных точек на этом компьютере больше нет. При запуске в безопасном режиме появился пользователь john. Откатывать винду лень, есть решение без отката?
       
      Сообщение от модератора Mark D. Pearlstone Темы перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...