Перейти к содержанию

Устранение следов и остатков деятельности вируса (ов)


Evgencheg

Рекомендуемые сообщения

 Противление активности вируса в виде запроса телефонного номера поисковиками в браузерах CHROME и OPERA.

(Похожая тема была на форуме, но предлогаемый скрипт использоваться не стал по причине наличия в нём путей, которые могли несовпадать и вероятном наличии ещё каких либо вирусов). Потому воспользовавшись правилами оформления запроса на удаление вирусов сгенерены приложенные отчёты для проверки на наличеие вирусов. 

  В ходе выполнения процедуры утилитой "Dr.Web CureIt!." били обнаружены и уничтожены 13 вирусов.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\adobe flash player\adobe.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wjzonbe.exe','');
 DeleteService('WebaltaService');
 DeleteFile('C:\Documents and Settings\User\Application Data\WebaltaService\WebaltaService.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wjzonbe.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\hrusdnb.job','32');
 DeleteFile('C:\WINDOWS\adobe flash player\adobe.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Обновите базы AVZ

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Спасибо! 

--------------------------------------------------------------------------------------------------------------------------------------------

После выполнения первого скрипта компьютер как и полагалось ушёл в перезагрузку, но с "синим экраном".

(картинку  не допонял как в текст добавить - потому разместил во вложении)

 

 

 

 

  Ответ на запрос:

 

[KLAN-1024038585]

-------------------------------------

.

.

quarantine.zip

This file is corrupted.

.

.

----------------------------------

(возможно потому, что отправил после того как повторил выполнение первого скрипта после принудительной  перезагрузки

после "синего экрана")

 

 

После выполнения всех рекомендованных действий соответственно снял новые логи (приложены)..

post-14431-0-30111900-1378929487_thumb.jpg

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

BSOD больше не повторялся?

 

Запустите AVZ - файл - Мастер поиска и устранения проблем - отметить и исправить:

>> Ограничение отображения дисков в проводнике
>> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

Сделайте лог AdwCleaner

 

http://safezone.cc/forum/showthread.php?t=22250


 

 


quarantine.zipThis file is corrupted.

повторите скрипт создания карантина и отправьте.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Artem1994
      Автор Artem1994
      Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 
      CollectionLog-2025.04.26-22.44.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
×
×
  • Создать...