Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] KVRT блокируется, avz пропадает с флэшки. Прошу помощи!

Alex_kuz

Автор Alex_kuz
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alex_kuz

Alex_kuz

Опубликовано
Опубликовано

Здравствуйте! Комп начал дико тормозить, проц сильно грузится, нещадно крутит кулер. При отключении интернета все нормализуется. Нет возможности установить или запустить какой-нибудь антивирус или утилиту, или открыть страницу с антивирусным сканером. AVZ, скачанный на ноуте при попытке запустить на стационарном - с флэшки просто исчезает, хотя имя файла случайное. Что делать ?

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

 

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима.
 

Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

"Пофиксите" в HijackThis (только следующие строки): 

O4 - HKCU\..\Run: [krende1f] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - HKLM\..\Run: [WindowsDefender] = C:\Program Files\Windows Defender\MSASCuiL.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: krende1f - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v krende1f /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks: plaza-profile - C:\ProgramData\preventing-prison\bin.exe /H (file missing)

 

Перезагрузите компьютер.

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com","hxxps://ovgorskiy.ru"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\krende1f\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\krende1f\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
FirewallRules: [{334A77B5-6A9D-400F-AAE7-8FB55DB366C3}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣商彁⹹硥e => Нет файла
FirewallRules: [{F9D77342-4855-475B-A59D-B4962AD69317}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{A762A567-705C-46DB-82C8-6F643D61E2EF}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{2195E19A-29DD-4FF0-8ADD-88DD678BBCFC}] => (Allow) 㩃啜敳獲歜敲摮ㅥ屦灁䑰瑡屡潒浡湩屧潴屣䕮桄攮數 => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Alex_kuz

Alex_kuz

Опубликовано
  • Автор
Опубликовано

На первый взгляд - все пришло в порядок: кулер не надрывается, загрузка процессора  - в норме, страницы с антивирусами - открываются, KVRT - запускается... Стоит ли его запустить? Или уже лишнее? Тормоза в браузере тоже прошли.

Sandor

Sandor

Опубликовано
Опубликовано
1 минуту назад, Alex_kuz сказал:

KVRT - запускается... Стоит ли его запустить?

Проверить не помешает.

 

А в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.17.4.0.482 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent 2.2.1.25302 final v.2.2.1.25302 final Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.5.02.2370 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Рогатый
      Avz нашел Троян
      Автор Рогатый
      При полном сканировании AVZ выдал такую картину(выделяет красным):
      C:\Program Files\WindowsApps.tmp\24091FileFormatApps.ViewPPTXPLUS_2.0.6.0_x64__8t2vtv4rwtrk0\VFS\ProgramFilesX86\FileFormatApps\View PPTX PLUS\share\config\images_breeze.zip/{ZIP}/cmd/sc_configuredialog.png >>>>> Trojan.BAT.DeltreeY.d 
      C:\Program Files\WindowsApps.tmp\24091FileFormatApps.ViewPPTXPLUS_2.0.6.0_x64__8t2vtv4rwtrk0\VFS\ProgramFilesX86\FileFormatApps\View PPTX PLUS\share\config\images_breeze.zip/{ZIP}/res/notebookbar.png >>>>> Trojan.BAT.DeltreeY.d 
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.25\avp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
      При этом приложении которое он метит давно нет и зачистка результатов не даёт
    • Руслан21
      Здравствуй, возникла проблема с удалением вируса Adware
      Автор Руслан21
      Здравствуйте, не получается удалить вирус, перезагрузка пк не помогает, файлы из папки temp не удаляются, пожалуйста подскажите, что можно сделать. Пытался удалить с помощью команд в AVZ не получилось.

    • Алекс2026
      ВИРУСЫ на ПК
      Автор Алекс2026
      Здравствуйте ребята, очень нужна ваша помощь. Поймал какие-то вирусы, которые не отслеживает ни Касперский, ни Adlice Protect (by RogueKiller), ни Dr.web, ни уж точно Malwar Bytes.

      Делал проверку через AVZ

      (Ранее были сжесткие (временные) просадки FPS в играх, и торможение к компьютера)
      avz_log.txt
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • RikiTikiTak
      Остаточная проблема после удаление пачки вирусов.
      Автор RikiTikiTak
      Скачал я с непроверенного торрент сайта игру, которая оказалось вовсе не игрой, она даже не запустилась ссылаясь на стандартную ошибку нехватки определённой длл библиотеки. Определил что это вирус по многим критериям, основной из них стала появляться командная строка после загрузки виндовса 7, что там чего не может найти, наверное вирус под такую операционную систему был не рассчитан. Для таких случаев у меня сканер Касперский есть, антивирусы я не люблю, компьютер слабый у меня. 
       После поверхностной борьбы поудалял много чего. Диск у меня на терабайт забит всякими кряками на игры и софт, также КМС активаторы есть, вообщем 3 часа диск проверял потом не выдержал и прервал, ничего нового там не нашло после поверхностного сканирования. Но проблема загрузки командной строки осталась.
            
      Как это убрать? Оно на пару секунд всего появляется при включении компьютера, при перезагрузки не появляется, но это не точно.
      Что в тегах при оформлении темы написать не знаю.
×
×
  • Создать...