Перейти к содержанию
Правила раздела

Подозрение на вирусы

chyb74

Автор chyb74
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

chyb74

chyb74

Опубликовано
Опубликовано

Здравствуйте. Посмотрите логи. после подключения второго жесткого комп тупит.

 

не тот отправил лог. извиняюсь.

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте virusinfo_autoquarantine.zip на форум. Файл удалён.

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

какой у вас антивирус - доктор веб или 360сэйф?

оставьте один, второй деинсталлируйте.

 

выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('newdriver', 4);
 QuarantineFile('C:\WINDOWS\gigalan.sys','');
DeleteFile('C:\WINDOWS\gigalan.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Пофиксите в Hijackthis:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=82013038_96_hao_pg

 

после деинсталляции ненужного антивируса - сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
chyb74

chyb74

Опубликовано
  • Автор
Опубликовано

какой у вас антивирус - доктор веб или 360сэйф?

оставьте один, второй деинсталлируйте.

 

у меня не находит даже через поиск этот 360сэйф.

 

 

 

у меня не находит даже через поиск этот 360сэйф.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

т.е. основной антивирус - DrWeb?

1) выполните скрипт из моего предыдущего поста.

2) Загрузившись в безопасный режим, выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('360AvFlt', 4);
SetServiceStart('qutmipc', 4);
SetServiceStart('qutmdserv', 4);
SetServiceStart('HookPort', 4);
SetServiceStart('EfiMon', 4);
SetServiceStart('BAPIDRV', 4);
SetServiceStart('360SelfProtection', 4);
SetServiceStart('360netmon', 4);
SetServiceStart('360Box', 4);
SetServiceStart('360AntiHacker', 4);
SetServiceStart('ZhuDongFangYu', 4);
StopService('360AvFlt');
StopService('qutmipc');
StopService('qutmdserv');
StopService('HookPort');
StopService('EfiMon');
StopService('BAPIDRV');
StopService('360SelfProtection');
StopService('360netmon');
StopService('360Box');
StopService('360AntiHacker');
StopService('ZhuDongFangYu');
QuarantineFile('C:\WINDOWS\Installer\f5b402a.msi','');
QuarantineFile('C:\WINDOWS\system32\JfCheck.dll','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\360Box.sys');
DeleteFile('C:\WINDOWS\system32\drivers\360netmon.sys');
DeleteFile('C:\WINDOWS\system32\drivers\360SelfProtection.sys');
DeleteFile('C:\WINDOWS\system32\drivers\BAPIDRV.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\qutmdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\qutmipc.sys');
DeleteFile('C:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\360AntiHacker.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Efimon.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hookport.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\360AvFlt.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk');
DeleteFile('C:\Program Files\360\360Safe\safemon\360Tray.exe');
DeleteFileMask('C:\Program Files\360\','*',true,' ');
DeleteDirectory('C:\Program Files\360\',' ');	   
DeleteFile('C:\WINDOWS\system32\JfCheck.dll');
DeleteFile('C:\WINDOWS\system32\360SoftMgr.cpl');
DelBHO('1A3440C6-F123-4CAB-84EE-C814E1AE0D8F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','360Safetray');
DeleteService('360AvFlt');
DeleteService('qutmipc');
DeleteService('qutmdserv');
DeleteService('HookPort');
DeleteService('EfiMon');
DeleteService('BAPIDRV');
DeleteService('360SelfProtection');
DeleteService('360netmon');
DeleteService('360Box');
DeleteService('360AntiHacker');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

Удалите вручную папки и файлы:

C:\Documents and Settings\Admin\Application Data\360mobilemgr
C:\Documents and Settings\All Users\Application Data\360SD
C:\Documents and Settings\All Users\Application Data\360safe
C:\Documents and Settings\Admin\Application Data\360Login
C:\Documents and Settings\Admin\Application Data\360WD
C:\360SANDBOX
C:\Documents and Settings\Admin\Application Data\360safe
C:\Documents and Settings\Admin\Application Data\360se
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\360?.lnk
C:\Program Files\Ticno\

Пофиксите в Hijackthis:

R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\TEMP\*.sys','');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сделайте новые логи по правилам.

+

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

+

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

запустите AdwCleaner и нажмите Delete

новый лог приложите

 

папки остались:

C:\Documents and Settings\All Users\Application Data\360SD
C:\Documents and Settings\All Users\Application Data\360safe
C:\360SANDBOX

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

чисто.

 

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

всё.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • aminjik
      Подозрение на вирусы после проверки
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...