Перейти к содержанию
Правила раздела

Подозрение на вирусы

chyb74

От chyb74
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

chyb74 Постоялец

chyb74

Опубликовано
Опубликовано

Здравствуйте. Посмотрите логи. после подключения второго жесткого комп тупит.

 

не тот отправил лог. извиняюсь.

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте virusinfo_autoquarantine.zip на форум. Файл удалён.

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

какой у вас антивирус - доктор веб или 360сэйф?

оставьте один, второй деинсталлируйте.

 

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('newdriver', 4);
 QuarantineFile('C:\WINDOWS\gigalan.sys','');
DeleteFile('C:\WINDOWS\gigalan.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Пофиксите в Hijackthis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=82013038_96_hao_pg

 

после деинсталляции ненужного антивируса - сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
chyb74 Постоялец

chyb74

Опубликовано
  • Автор
Опубликовано

какой у вас антивирус - доктор веб или 360сэйф?

оставьте один, второй деинсталлируйте.

 

у меня не находит даже через поиск этот 360сэйф.

 

 

 

у меня не находит даже через поиск этот 360сэйф.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

т.е. основной антивирус - DrWeb?

1) выполните скрипт из моего предыдущего поста.

2) Загрузившись в безопасный режим, выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('360AvFlt', 4);
SetServiceStart('qutmipc', 4);
SetServiceStart('qutmdserv', 4);
SetServiceStart('HookPort', 4);
SetServiceStart('EfiMon', 4);
SetServiceStart('BAPIDRV', 4);
SetServiceStart('360SelfProtection', 4);
SetServiceStart('360netmon', 4);
SetServiceStart('360Box', 4);
SetServiceStart('360AntiHacker', 4);
SetServiceStart('ZhuDongFangYu', 4);
StopService('360AvFlt');
StopService('qutmipc');
StopService('qutmdserv');
StopService('HookPort');
StopService('EfiMon');
StopService('BAPIDRV');
StopService('360SelfProtection');
StopService('360netmon');
StopService('360Box');
StopService('360AntiHacker');
StopService('ZhuDongFangYu');
QuarantineFile('C:\WINDOWS\Installer\f5b402a.msi','');
QuarantineFile('C:\WINDOWS\system32\JfCheck.dll','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\360Box.sys');
DeleteFile('C:\WINDOWS\system32\drivers\360netmon.sys');
DeleteFile('C:\WINDOWS\system32\drivers\360SelfProtection.sys');
DeleteFile('C:\WINDOWS\system32\drivers\BAPIDRV.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\qutmdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qutmipc.sys');
DeleteFile('C:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\360AntiHacker.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Efimon.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hookport.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\360AvFlt.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk');
DeleteFile('C:\Program Files\360\360Safe\safemon\360Tray.exe');
DeleteFileMask('C:\Program Files\360\','*',true,' ');
DeleteDirectory('C:\Program Files\360\',' ');	   
DeleteFile('C:\WINDOWS\system32\JfCheck.dll');
DeleteFile('C:\WINDOWS\system32\360SoftMgr.cpl');
DelBHO('1A3440C6-F123-4CAB-84EE-C814E1AE0D8F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','360Safetray');
DeleteService('360AvFlt');
DeleteService('qutmipc');
DeleteService('qutmdserv');
DeleteService('HookPort');
DeleteService('EfiMon');
DeleteService('BAPIDRV');
DeleteService('360SelfProtection');
DeleteService('360netmon');
DeleteService('360Box');
DeleteService('360AntiHacker');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Удалите вручную папки и файлы:

C:\Documents and Settings\Admin\Application Data\360mobilemgr
C:\Documents and Settings\All Users\Application Data\360SD
C:\Documents and Settings\All Users\Application Data\360safe
C:\Documents and Settings\Admin\Application Data\360Login
C:\Documents and Settings\Admin\Application Data\360WD
C:\360SANDBOX
C:\Documents and Settings\Admin\Application Data\360safe
C:\Documents and Settings\Admin\Application Data\360se
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk
C:\Program Files\Ticno\

Пофиксите в Hijackthis:

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\TEMP\*.sys','');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сделайте новые логи по правилам.

+

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

+

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

запустите AdwCleaner и нажмите Delete

новый лог приложите

 

папки остались:

C:\Documents and Settings\All Users\Application Data\360SD
C:\Documents and Settings\All Users\Application Data\360safe
C:\360SANDBOX

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

чисто.

 

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

всё.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Gramm
      Ограниченые права windows + подозрение на вирус
      От Gramm
      Здраствуйте, может я параною, но сегодня я узнал, что я не могу на диске C или D, создавать какие либо файлы, кроме папки.


       
      1)До этого, часто отключал антивирус, что бы найти читы на любимую игру.
      Вроде как пару недель назад, заметил как быстро открылась консоль и закрылась
      2) 
      Еще постояно выскакивает 2 процес браузера с рекламой, хотя стоит adblocker
       
      Один из них вот этот: https://www.virustotal.com/gui/file/b3988010d5fee487462c96dd3d457af96c4caccb52d0dc9d2b7a9c1e414ba683/detection
      Можете помочь глянуть, что там слышно в логах
      CollectionLog-2024.08.22-13.45.zip
×
×
  • Создать...