Перейти к содержанию
Правила раздела

Проверьте на вирусы

kamoma2012

Автор kamoma2012
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Nival\Primeworld\PvP\PvP_-1to12\PvP_-1to12.zip','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7541\s523lswp18.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8651\s523lsword.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8961\s523lswp98.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9181\i1864tg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861\i9864tg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7422\s523l22mix.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3487\s523ll5pu6s1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3422\s523l22pu6s1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1101\i8766tg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Zfdqdp.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Tddqdj.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Tddqdj.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Zfdqdp.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1101\i8766tg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3422\s523l22pu6s1.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3487\s523ll5pu6s1.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7422\s523l22mix.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861\i9864tg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9181\i1864tg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8961\s523lswp98.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8651\s523lsword.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-7541\s523lswp18.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tddqdj');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zfdqdp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vn15');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sdjwe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s523225pmix');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s523ll5pu6s1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s523225pu6s1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s52322sp18');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fvbk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s52322sword');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fgfk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s52322sp98');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jaqq');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jkqq');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c185');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'HungAppTimeout', 5000);
RegKeyIntParamWrite('HKCU', 'ControlPanel\Desktop', 'WaitToKillAppTimeout', 20000);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
kamoma2012 Новичок

kamoma2012

Опубликовано
  • Автор
Опубликовано (изменено)

virusinfo_syscheck.zip

virusinfo_syscure.zip

Строгое предупреждение от модератора Mark D. Pearlstone
Не выкладывайте virusinfo_cure.zip на форум. Файл удалён.
Изменено пользователем Mark D. Pearlstone
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

kamoma2012,

удалите файл карантина virusinfo_cure.zip из Вашего прошлого поста.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>>  Таймаут завершения процессов находится за пределами допустимых значений
>>  Таймаут завершения служб находится за пределами допустимых значений
>>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

деинсталиируйте MBAM

 

обновите Adobe Reader - http://get.adobe.com/reader/

обновите Java - http://www.java.com/ru/download/windows_manual.jsp?locale=ru

 

Установите все последующие обновления (может потребоваться активация).

 

проблема осталась?

Ссылка на комментарий
Поделиться на другие сайты
kamoma2012 Новичок

kamoma2012

Опубликовано
  • Автор
Опубликовано
virusinfo_syscheck.zip

virusinfo_syscure.zip

Не выкладывайте virusinfo_cure.zip на форум. Файл удалён.

Я здесь новичок, мало знаю компьютер.

 

деинсталиируйте MBAM

 

обновите Adobe Reader - http://get.adobe.com/reader/

обновите Java - http://www.java.com/ru/download/windows_manual.jsp?locale=ru

 

Установите все последующие обновления (может потребоваться активация).

 

проблема осталась?

деинсталировать МВАМ. ЭТО ЧТО И КАК?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...