Перейти к содержанию
Правила раздела

Долгий доступ к файлам

dexter

От dexter
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

dexter Ветеран

dexter

Опубликовано
Опубликовано

Собственно, в продолжении этой    http://forum.kasperskyclub.ru/index.php?showtopic=41951&do=findComment&comment=603034  темы .

 

Перед проверкой АВЗ, прошёлся пауком от Доктора. Результат - на скрине.

 

"Тормоза" с открытием, просмотром, исполнением файлов - остались.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

post-17845-0-22653100-1385345364_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполните скрипт в AVZ:

begin
DeleteFileMask('c:\PROGRA~2\mcafee\','*', true);
DeleteDirectory('c:\PROGRA~2\mcafee\',' ');
DeleteFileMask('C:\Program Files (x86)\Common Files\AVG Secure Search\','*', true);
DeleteDirectory('C:\Program Files (x86)\Common Files\AVG Secure Search\',' ');
DeleteFileMask('C:\Program Files (x86)\Connect_DLC_4\','*', true);
DeleteDirectory('C:\Program Files (x86)\Connect_DLC_4\',' ');
DeleteFile('C:\Windows\system32\Tasks\BackgroundContainer Startup Task','64');
DeleteFileMask('C:\Users\waw\AppData\Local\Conduit\','*', true);
DeleteDirectory('C:\Users\waw\AppData\Local\Conduit\',' ');
DeleteFileMask('C:\Program Files (x86)\SearchProtect\','*', true);
DeleteDirectory('C:\Program Files (x86)\SearchProtect\',' ');
DeleteFile('C:\ProgramData\Mozilla\ztssgdf.exe','64');
DelAutorunByFileName('C:\ProgramData\Mozilla\ztssgdf.exe');
DelBHO('17464f93-137e-4646-a0c6-0dc13faf0113');
DelCLSID('B658800C-F66E-4EF3-AB85-6C0C227862A9');
DeleteService('CltMngSvc');
DeleteService('vToolbarUpdater17.1.3');
DeleteService('McAfee SiteAdvisor Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки сделайте новые логи.

 

а также лог AdwCleaner

http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

@sputnikk,

для "поговорить" есть Беседка.

нет.

дело было не в вирусах, а наоборот. в антивирусах.

 

@dexter,

нужен ещё контрольный лог AdwCleaner после перезагрузки.


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Program Files (x86)\MyPC Backup\BackupStack.exe');
SetServiceStart('BackupStack', 4);
StopService('BackupStack');
QuarantineFile('C:\Windows\SysWOW64\MANHAT~1.SCR','');
DeleteFileMask('C:\Program Files (x86)\MyPC Backup\','*', true);
DeleteDirectory('C:\Program Files (x86)\MyPC Backup\ ',' ');
DeleteFileMask('C:\Program Files (x86)\Conduit\ ','*', true);
DeleteDirectory('C:\Program Files (x86)\Conduit\',' ');
DeleteFileMask('C:\ProgramData\Conduit\ ','* ', true,' ');
DeleteDirectory('C:\ProgramData\Conduit\ ',' ');
DeleteFile('C:\Windows\system32\Tasks\LaunchApp','64');
DeleteFile('C:\Windows\system32\Tasks\LaunchApp.job','64');
DeleteFile('C:\Users\waw\AppData\Roaming\Mozilla\Firefox\Profiles\rk9kg7p8.default\searchplugins\conduit.xml','64');
DeleteService('BackupStack');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - (no file)

Сделайте новые логи по правилам.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
dexter Ветеран

dexter

Опубликовано
  • Автор
Опубликовано

1. Выполнил скрипт в AVZ. После перезагрузки выполнил сканирование  AdwCleaner.

2. Выпонил скрипт для создания архива с карантином - архив оказался пуст.

3. Являюсь зарегистрированным пользователем. Архив не отправлял.

4. Пофиксил в HijackThis. Строки были все.

 

Новые логи - прикладываю.

 

P.S.: по поводу антивирусов - как-бы не пришлось обращаться в ТП. Действительно, есть и влияние КИСы.

virusinfo_syscheck.zip

virusinfo_syscure.zip

AdwCleanerR1.txt

AdwCleanerS1.txt

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

проверьте на virustotal.com файл

C:\Windows\SysWOW64\MANHAT~1.SCR

при запросе на повторное исследование - согласитесь!

ссылку на результат проверки приложите.

Ссылка на комментарий
Поделиться на другие сайты
dexter Ветеран

dexter

Опубликовано
  • Автор
Опубликовано

проверьте на virustotal.com файл

C:\Windows\SysWOW64\MANHAT~1.SCR

при запросе на повторное исследование - согласитесь!

ссылку на результат проверки приложите.

Проверил  ManhattanNight.scr -   https://www.virustotal.com/ru/file/eca5ce982a6586550424dabb721c7b570089f4ef58e0fc6d5460224978c6952c/analysis/1385451389/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Arhmaster
      Возникла проблема с NET.MALWARE.URL, доктор.веб нашел его, но затем он пропал, при этом подвисания и долгие загрузки в браузере остались.
      От Arhmaster
      Здравствуйте! Начались тормоза в браузере, скачал утилиту доктор.веб, выполнил проверку, была найдена единственная проблема: NET.MALWARE.URL, утилита не смогла выполнить лечение, тогда я пошел в инет, искать решение. Какого-то конкретного способа не нашел, а утилиту закрыл. Когда нашел здесь инструкцию по похожему вопросу, новые проверки утилитами не находят NET.MALWARE.URL, хотя я крайне навряд ли мог от него избавиться, вместе с этим подтормозы в браузере остались.
      Подскажите план действий, все-равно делать, как описано здесь: 
      даже если утилита не находит вирус?
×
×
  • Создать...