Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

 

Деинсталлируйте нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Tasks: {E59672D3-8143-4507-9A72-91EBF76A30A2} - C:\Users\tarabanchuk\Desktop\OODefrag_x32\OODefragPortable.exe (file missing)
O22 - Tasks: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing)
O22 - Tasks: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Tasks: UpdaterProBrowsers - C:\Users\2900_user_fku\AppData\Local\UpdaterProBrowsers\UpdaterProBrowsers.exe --s=39AA0AD16191B883884D05B6936DD827C0BF7BA7880C3BC572165AC35A07981D16D527B0910FEF994EE3F63083 --id=1 --sub-id=237 (file missing)
O22 - Tasks: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath (default) = (no file)

 

Перезагрузите компьютер.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Опубликовано

"Пофиксите" в HijackThis:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

Опубликовано

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано
11.10.2022 в 11:47, Sandor сказал:

(Обратите внимание - C и S - это разные буквы)

Не обратили внимания :)

Опубликовано (изменено)

Из восьми учётных записей системы пять обладают правами администратора.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Task: {563C2281-A1CA-4AEF-873F-188F3D5C0332} - \Pbrowserupd -> Нет файла <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\umbrella.cfg [2020-05-21] <==== ВНИМАНИЕ
    S4 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
    2022-09-20 19:32 - 2020-12-07 08:57 - 000000000 ____D C:\Program Files (x86)\Transmission
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1007 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
    URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1008 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
    FirewallRules: [{7D99CF5A-F163-443B-B8D5-F0CDF4715FE6}] => (Allow) C:\Windows\Temp\127\SmartFix\wget.exe => Нет файла
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{3d56d162-56c0-4514-a698-2ef8b7c0327a}) (Version: 1.3.30.0 - Sigma Software) Hidden
    FirewallRules: [{9D278A9F-789F-4316-868C-A06E830F90F1}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
    FirewallRules: [{6B52ED59-CE7A-4BA7-8CB0-8EF69BA7E7DA}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
    FirewallRules: [{E1B357A7-6628-4573-AF6D-35C890B4487A}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
    FirewallRules: [{799748C6-D783-462D-94EF-DDE691641327}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
    FirewallRules: [{4E6505AC-16A9-4C7E-8A67-93405CE983EC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{0D738DEA-985B-4BE9-917E-8DFC44B856F3}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{9C49D298-8E92-4799-884F-A26566D15A54}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{C74CFEC7-67DF-4040-B7DD-3BA95FF44C5E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{C39B6D57-42F0-4B54-848E-3B5C8348C033}] => (Allow) LPort=1346
    FirewallRules: [{3E2C75E5-4C6E-4F15-85B1-42FC41581E06}] => (Allow) LPort=1344
    FirewallRules: [{047F4EF2-55F2-426E-9308-CE154D98884D}] => (Allow) LPort=1345
    FirewallRules: [{4D27DC46-DFB1-4845-920A-D2A64014AB2B}] => (Allow) LPort=1347
    FirewallRules: [{5C7F536B-72B6-41D6-AF5C-DFD191977D3F}] => (Allow) LPort=135
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Если программу

Цитата

Chromium-Gost

не самостоятельно ставили, тоже удалите.

Изменено пользователем Sandor
Ручная перезагрузка, поправил шаблон
Опубликовано
11.10.2022 в 11:47, Sandor сказал:

Обратите внимание - C и S - это разные буквы

 

21 час назад, Sandor сказал:

Не обратили внимания

Покажите всё-таки лог очистки AdwCleaner.

 

Скрипт отработал успешно. Что сейчас с проблемой?

Опубликовано

проблема актуальна. вирус miner Flock.exe все еще определяется. лог направлю позднее

Опубликовано
21 час назад, Sandor сказал:

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Это удалили?

Опубликовано

Сделаем дополнительную проверку.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VASILIY13
      Автор VASILIY13
      Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.
      CollectionLog-2023.12.30-10.39.zip
      CollectionLog-2023.12.30-10.39.zip
      новые логи:
      DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z
      FRST.txt
    • ddom3
      Автор ddom3
      CollectionLog-2023.10.18-18.49.zip
      касперский при включении находит его и предлагает лечение с перезагрузкой, однако после перезагрузки ситуация повторяется
      пробовал лечить по темам с форума, не помогло
    • Canbu
      Автор Canbu
      Смотрел темы на форуме, но к сожалению не понял как разобраться
    • Ольга Кот
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • ApploDi
      Автор ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
×
×
  • Создать...