Перейти к содержанию

Рекомендуемые сообщения

День добрый, не нашел информации о принципе поражения данным зловредом, инетерсует куда что он прописывает и как удалить точно его ошметки из системы, спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Сообщите, пожалуйста, где и чем вы его обнаружили.

 

Сделаем некоторую очистку:

 

1. 

Файл CheckBrowserLnk.log
 из папки

Цитата

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующие строки:

O2 - HKLM\..\BHO: IEToEdge BHO - {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} - C:\Program Files (x86)\Microsoft\Edge\Application\104.0.1293.70\BHO\ie_to_edge_bho_64.dll (file missing)
O2-32 - HKLM\..\BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - z:\PROGRA~1\DOWNLO~1\dmiehlp.dll (file missing)
O2-32 - HKLM\..\BHO: IEToEdge BHO - {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} - C:\Program Files (x86)\Microsoft\Edge\Application\104.0.1293.70\BHO\ie_to_edge_bho.dll (file missing)
O4 - HKCU\Control Panel\Desktop: [SCRNSAVE.EXE] = none (file missing)
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PATHEXT] = .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC;.PY;.PYW
O26 - Debugger: HKLM\..\compattelrunner.exe: [Debugger] = C:\WINDOWS\System32\taskkill.exe (Microsoft)
O26 - Debugger: HKLM\..\wsqmcons.exe: [Debugger] = C:\WINDOWS\system32\systray.exe (Microsoft)

 

Перезагрузите компьютер.

 

3. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Monkkka
      От Monkkka
      Вирус :trojan.ransom.generic зашифровал файлы. Файлы стали иметь расширение , которые представляет собой набор букв и цирф. (.odkf .3y64 .7412 и тп.). Пробовал обращаться в тех. поддержку, юзать разные дешифраторы - не помогло. README.txt ниже. Как расшифровать данные файлы?!


      На китайский язык не обращайте внимания, я поставил его сам, в личных целях

    • Monk_of_Meo
      От Monk_of_Meo
      Добрый день.
      В один прекрасный день Антивирус Касперского удалил Яндекс Браузер. Ну думаю, не проблема - установим заново. Однако установка не проходит до конца, выходит сообщение антивируса, о вирусе (трояне) во временной папке (точное описание чуть ниже). Если антивирус отключить, то браузер удается установить, однако, после запуска антивируса, через некоторое время его (запускаемый файл browser.exe) антивирус снова удаляет. Конечно, можно добавить папку Яндекс Браузера в исключения, но всеж таки хотелось бы разобраться с проблемой.
       
      При установке вот такое сообщение выдает антивирус:
      У программы обнаружено опасное поведение, точно характеризующее ее как вредоносную.
       
      Троянская программа:
      PDM:Trojan.Win32.Generic
       
      Процесс (PID: 4492):
      c:\users\maxb\appdata\local\temp\yb8f53.tmp
       
      Нажав на дополнительно, интересно, что дата создания этого файла: 07.09.2035 9:34:35 (создан процессом yandex.exe), хотя разумеется дата на ПК стоит правильная.
       
      CollectionLog прилагаю.
      CollectionLog-2023.02.06-13.14.zip
    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Maksat
      От Maksat
      Добрый день! Коллеги, помогите пожалуйста решить такую проблему. 
      Есть критичный ПК, на котором работает специфический софт. На ПК установлен Kaspersky endpoint security 11.10. 
      Проблема заключается в том, что KES блокирует USB. И парадокс заключается в том, что на ПК отсутствует агент администрирования. То ест, продукт KES не управляем посредством Kaspersky security center. Кроме того на ПК отсутствует сеть. Одним словом я не могу скопировать на указанный ПК агент агент администрирования, что бы продукт каспера стал управляемым. При удалении Каспера не подходит не один пароль, кторый когда либо имелся в организации. Я не могу так же скопировать туда утилиту для сброса пароля KLAPR https://support.kaspersky.ru/common/settings/14674#block4/.  
      Попробовал сделать:
       
       Запустить через безопасный режим (+admin) ·      
      Перейти в ветку реестра:
      o   Для 64-битных ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\KES*\settings ·       Найти параметр EnablePswrdProtect и исправить значение 1 на 0
      ·       Удалить значение параметра OPEP
      ·       Перезагрузить компьютер в обычном режиме  
      Не помогло. Как мне удалить каспера если он не принимает наши пароли?  Или как мне обойти блокировку УСБ который делает каспер?  Вендор специфического софта отказывается переустановить ОС на ПК, так как проблема на стороне касперского.   
    • Matvey
      От Matvey
      Здравствуйте. Обнаружил у себя на компьютере майнер, находится по пути C:\ProgramData\RealtekHD и WindowsTask. Прошу помощи с удалением, спасибо.
      CollectionLog-2023.01.06-20.38.zip
×
×
  • Создать...