Перейти к содержанию

Долгий доступ к файлам


dexter

Рекомендуемые сообщения

Собственно, в продолжении этой    http://forum.kasperskyclub.ru/index.php?showtopic=41951&do=findComment&comment=603034  темы .

 

Перед проверкой АВЗ, прошёлся пауком от Доктора. Результат - на скрине.

 

"Тормоза" с открытием, просмотром, исполнением файлов - остались.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

post-17845-0-22653100-1385345364_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

выполните скрипт в AVZ:

begin
DeleteFileMask('c:\PROGRA~2\mcafee\','*', true);
DeleteDirectory('c:\PROGRA~2\mcafee\',' ');
DeleteFileMask('C:\Program Files (x86)\Common Files\AVG Secure Search\','*', true);
DeleteDirectory('C:\Program Files (x86)\Common Files\AVG Secure Search\',' ');
DeleteFileMask('C:\Program Files (x86)\Connect_DLC_4\','*', true);
DeleteDirectory('C:\Program Files (x86)\Connect_DLC_4\',' ');
DeleteFile('C:\Windows\system32\Tasks\BackgroundContainer Startup Task','64');
DeleteFileMask('C:\Users\waw\AppData\Local\Conduit\','*', true);
DeleteDirectory('C:\Users\waw\AppData\Local\Conduit\',' ');
DeleteFileMask('C:\Program Files (x86)\SearchProtect\','*', true);
DeleteDirectory('C:\Program Files (x86)\SearchProtect\',' ');
DeleteFile('C:\ProgramData\Mozilla\ztssgdf.exe','64');
DelAutorunByFileName('C:\ProgramData\Mozilla\ztssgdf.exe');
DelBHO('17464f93-137e-4646-a0c6-0dc13faf0113');
DelCLSID('B658800C-F66E-4EF3-AB85-6C0C227862A9');
DeleteService('CltMngSvc');
DeleteService('vToolbarUpdater17.1.3');
DeleteService('McAfee SiteAdvisor Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки сделайте новые логи.

 

а также лог AdwCleaner

http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/

Ссылка на комментарий
Поделиться на другие сайты

@sputnikk,

для "поговорить" есть Беседка.

нет.

дело было не в вирусах, а наоборот. в антивирусах.

 

@dexter,

нужен ещё контрольный лог AdwCleaner после перезагрузки.


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Program Files (x86)\MyPC Backup\BackupStack.exe');
SetServiceStart('BackupStack', 4);
StopService('BackupStack');
QuarantineFile('C:\Windows\SysWOW64\MANHAT~1.SCR','');
DeleteFileMask('C:\Program Files (x86)\MyPC Backup\','*', true);
DeleteDirectory('C:\Program Files (x86)\MyPC Backup\ ',' ');
DeleteFileMask('C:\Program Files (x86)\Conduit\ ','*', true);
DeleteDirectory('C:\Program Files (x86)\Conduit\',' ');
DeleteFileMask('C:\ProgramData\Conduit\ ','* ', true,' ');
DeleteDirectory('C:\ProgramData\Conduit\ ',' ');
DeleteFile('C:\Windows\system32\Tasks\LaunchApp','64');
DeleteFile('C:\Windows\system32\Tasks\LaunchApp.job','64');
DeleteFile('C:\Users\waw\AppData\Roaming\Mozilla\Firefox\Profiles\rk9kg7p8.default\searchplugins\conduit.xml','64');
DeleteService('BackupStack');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - (no file)

Сделайте новые логи по правилам.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

1. Выполнил скрипт в AVZ. После перезагрузки выполнил сканирование  AdwCleaner.

2. Выпонил скрипт для создания архива с карантином - архив оказался пуст.

3. Являюсь зарегистрированным пользователем. Архив не отправлял.

4. Пофиксил в HijackThis. Строки были все.

 

Новые логи - прикладываю.

 

P.S.: по поводу антивирусов - как-бы не пришлось обращаться в ТП. Действительно, есть и влияние КИСы.

virusinfo_syscheck.zip

virusinfo_syscure.zip

AdwCleanerR1.txt

AdwCleanerS1.txt

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

проверьте на virustotal.com файл

C:\Windows\SysWOW64\MANHAT~1.SCR

при запросе на повторное исследование - согласитесь!

ссылку на результат проверки приложите.

Ссылка на комментарий
Поделиться на другие сайты

проверьте на virustotal.com файл

C:\Windows\SysWOW64\MANHAT~1.SCR

при запросе на повторное исследование - согласитесь!

ссылку на результат проверки приложите.

Проверил  ManhattanNight.scr -   https://www.virustotal.com/ru/file/eca5ce982a6586550424dabb721c7b570089f4ef58e0fc6d5460224978c6952c/analysis/1385451389/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bercolitt
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей194
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Silverqt
      От Silverqt
      Добрый день Уважаемые форумчане, недавно обнаружил у себя майнер на ПК, понял это по характерной "усиленной" работе пк в простое и загрузке ЦП в 99%. Самостоятельно в безопасном режиме прошел проверку через VRT от Kaspersky и ESET Online Scanner. Так же самостоятельно попытался отыскать необычный процесс через  Farbar Recovery Scan Tool но к сожалению ничего не обнаружил. ПК работает в штатном режиме, но мне не доступны такие команды как: gpedit.msc и Планировщику задач Windows. Помогите пожалуйста вернуть к ним доступ. FRST.txt и Addition.txt от FRST прикрепляю FRST.txtAddition.txt
    • SAVXNNXH
      От SAVXNNXH
      При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл
      CollectionLog-2025.01.15-20.17.zip
    • Gistap
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...