Перейти к содержанию
Правила раздела

Есть ли вирусы?

Modenaz

От Modenaz
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Modenaz Новичок

Modenaz

Опубликовано
Опубликовано (изменено)

Приветствую! Недавно система подверглась заражению, антивирусом пролечил, но возможно вирусы на ноутбуке остались. Плюс ко всему до этого( около трех недель назад) перестали работать USB-порты, так до сих пор и не работают, обновление драйверов в диспетчере устройств не помогает. Может система повреждена? Вот, посмотрите, пожалуйста, логи на всякий случай.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('sysdrv32', 4);
SetServiceStart('yjqohh', 4);
SetServiceStart('wbgwj', 4);
SetServiceStart('spzmsu', 4);
SetServiceStart('rtwvrm', 4);
SetServiceStart('gadfeg', 4);
SetServiceStart('azypjtmc', 4);
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\FchULCF.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\numnpn.sys','');
QuarantineFile('c:\DOCUME~1\heirees\LOCALS~1\Temp\Rar$EX01.797\vfd.sys','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('\\?\globalroot\systemroot\system32\FchULCF.exe');
DeleteFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}');
DeleteService('sysdrv32');
DeleteService('yjqohh');
DeleteService('wbgwj');
DeleteService('spzmsu');
DeleteService('rtwvrm');
DeleteService('gadfeg');
DeleteService('azypjtmc');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ

Сообщение от модератора thyrex
на newvirus@kaspersky.com

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XF0 FmEA.exe,\?globalrootsystemrootsystem32FchULCF.exe,
R3 - URLSearchHook: (no name) - - (no file)

 

Сообщение от модератора thyrex
Сделайте новые логи

 

Сделайте лог GMER.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end.

- почему-то этот скрипт дает такой файл, на который сервер ругается: "Файл не является архивом с карантином AVZ !"

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

Пытался отправить на virusinfo.info, не получилось

 

А потом просто отправил на newvirus@kaspersky.com. Пока только ответ автоматической системы пришел. Папка Qurantine весит 5, 21 кб

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

Вот сделал новые логи. Лог gmer сделать не получается, во время работы этой утилиты зависает система. Кстати, пока делал логи, отключил, как и рекомендуется, антивир и брандмауэр( интернет остался подключенным). Как результат - новое заражение. Сейчас сделал полную проверку антивирусом, кое-какие вирусы удалились. Но думаю зараза еще осталась

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В 911 Ваша тема?

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

В 911 тема называется "вирусы". Могу я перед запуском combo, отключить интернет, чтобы не было нового заражения и можно ли делать логи в avz c отключенным интернетом ?

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::

Driver::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

NetSvc::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

Folder::
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3305:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::
c:\windows\system32\4AF08F1659.sys

Driver::

Folder::
C:\FOUND.007
C:\FOUND.006

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • Vyacheslav_G
      Вирус не удаляется
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • nghtmrmdtrd
      John вирус
      От nghtmrmdtrd
      Сегодня утром обнаружил, что цп ноутбука уходит под 100%, как обычно решил проверить его через Dr.Web, сайт мнгновенно закрвается, старые .exe др веб в загрузках тоже были удалены, попробовал откат на 2 дня, не проконтролировал нехватку памяти после чего откат не удался, а когда зашел снова в точку возврата, было написано что контрольных точек на этом компьютере больше нет. При запуске в безопасном режиме появился пользователь john. Откатывать винду лень, есть решение без отката?
       
      Сообщение от модератора Mark D. Pearlstone Темы перемещена из раздела "Компьютерная помощь"
×
×
  • Создать...