Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, подскажите пожалуйста, как удалить HEUR:Trojan.Win64.Miner.gen, KTS при попытке лечения с перезагрузкой, после самой перезагрузки снова показывает что обнаружен этот вирус, при ручном удалении файлов, та же ошибка. Что делать? 

1.txt

Ссылка на комментарий
Поделиться на другие сайты

31 минуту назад, Aling4r сказал:

Здравствуйте, подскажите пожалуйста, как удалить HEUR:Trojan.Win64.Miner.gen, KTS при попытке лечения с перезагрузкой, после самой перезагрузки снова показывает что обнаружен этот вирус, при ручном удалении файлов, та же ошибка. Что делать? 

1.txt 18 kB · 0 загрузок

 

Объект: C:\ProgramData\PhotoPrestige-4bfd88b6-3f19-489e-95a0-5695c947a839

 

CollectionLog-2023.10.24-23.34.zip

Изменено пользователем Aling4r
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

При попытке запуска выдает такую ошибку, когда запускаю 32bit говорит установить 64bit, а она не работает.

image.png

 

Переименовал программу, заработало

FRST.rar

AV_block_remove_2023.10.25-19.55.log CollectionLog-2023.10.25-20.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\prospect-probability\bin.exe', '');
 QuarantineFile('C:\Users\helle\appdata\roaming\drpsu\alice\cloud.exe', '');
 QuarantineFile('c:\windows\System32\mobsync.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\mobsync.dll', '');
 QuarantineFileF('C:\ProgramData\prospect-probability\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\prospect-probability\bin.exe', '64');
 DeleteFile('C:\Users\helle\appdata\roaming\drpsu\alice\cloud.exe', '32');
 DeleteFile('C:\Users\helle\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\plate-presented.lnk');
 DeleteFile('c:\windows\System32\mobsync.dll', '32');
 DeleteFile('C:\Windows\SysWOW64\mobsync.dll', '64');
 DeleteFileMask('C:\ProgramData\prospect-probability\', '*', true);
 DeleteDirectory('C:\ProgramData\prospect-probability\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_64f43e\Parameters', 'ServiceDll', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ещё раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt.

Ссылка на комментарий
Поделиться на другие сайты

26.10.2023 в 08:24, Sandor сказал:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):



begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\prospect-probability\bin.exe', '');
 QuarantineFile('C:\Users\helle\appdata\roaming\drpsu\alice\cloud.exe', '');
 QuarantineFile('c:\windows\System32\mobsync.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\mobsync.dll', '');
 QuarantineFileF('C:\ProgramData\prospect-probability\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\prospect-probability\bin.exe', '64');
 DeleteFile('C:\Users\helle\appdata\roaming\drpsu\alice\cloud.exe', '32');
 DeleteFile('C:\Users\helle\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\plate-presented.lnk');
 DeleteFile('c:\windows\System32\mobsync.dll', '32');
 DeleteFile('C:\Windows\SysWOW64\mobsync.dll', '64');
 DeleteFileMask('C:\ProgramData\prospect-probability\', '*', true);
 DeleteDirectory('C:\ProgramData\prospect-probability\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_64f43e\Parameters', 'ServiceDll', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ещё раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt.

 

1st.rar

Изменено пользователем Sandor
Убрал карантин.
Ссылка на комментарий
Поделиться на другие сайты

Карантин нужно было не прикреплять к сообщению, а отправить почтой на указанный адрес.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-4090490707-1620307760-276711111-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {514CA909-B615-4D5A-9EC7-DC731D6A55FE} - \AdLock Update Task-S-1-5-21-4090490707-1620307760-276711111-1001 -> Нет файла <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    C:\Users\helle\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
    Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd]
    CHR HKU\S-1-5-21-4090490707-1620307760-276711111-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S2 Transmission; C:\Users\helle\AppData\Local\Programs\Transmission\transmission-qt.exe [1558232 2023-05-16] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
    Folder: C:\ProgramData\PhotoPrestige-4bfd88b6-3f19-489e-95a0-5695c947a839
    2023-10-23 19:15 - 2023-10-26 20:46 - 000000000 __SHD C:\ProgramData\PhotoPrestige-4bfd88b6-3f19-489e-95a0-5695c947a839
    2023-05-15 20:19 C:\ProgramData\RDP Wrapper
    FirewallRules: [{83D0C2C2-694B-4013-A65E-1B189BCC1BC2}] => (Allow) C:\Windows\system32\tools\aria2c.exe => Нет файла
    FirewallRules: [{538407b5-74eb-4514-bd2f-3ec9f2ab23b7}] => (Allow) J:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
    FirewallRules: [{E9D0EFB5-1F4A-448F-9C75-43FB2986E555}] => (Allow) 㩃啜敳獲桜汥敬䅜灰慄慴剜慯業杮瑜捯㥜祏㡶攮數 => Нет файла
    FirewallRules: [{4A89560B-59CF-462A-9DD3-D40BF8759ABF}] => (Allow) 㩃啜敳獲桜汥敬䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{E151FD72-6B39-4329-858F-D6A5F4A79583}] => (Allow) 㩃啜敳獲桜汥敬䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{5442360B-E126-43A5-A56B-729C9257F6A5}] => (Allow) 㩃啜敳獲桜汥敬䅜灰慄慴剜慯業杮瑜捯㙜潲⹤硥e => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Zip: c:\FRST\Quarantine\
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Файл C:\Users\helle\Desktop\27.10.2023_13.53.41.zip отправили?

Если получился большим по размеру, залейте на облако и дайте ссылку на скачивание, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Извините, скрипт сохранил не под тем названием, из-за чего он, скорее всего не выполнился, сейчас перезапущу все верно и отправлю еще раз

Ссылка на комментарий
Поделиться на другие сайты

Не нужно второй раз запускать

 

Скрипт выполнился успешно, эту строку я взял из вашего лога:

Цитата

c:\FRST\Quarantine\ -> успешно скопировано C:\Users\helle\Desktop\27.10.2023_13.53.41.zip

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • meowqqq
      От meowqqq
      Несколько раз находил этот вирус на своем компьютер удалял но он все ровно устанавливался 
      file:///C:/Users/short/Downloads/cureit(4280).log
       
    • failkey
      От failkey
      Не знаю как удалить Трояны. Остаются даже после восстановления винды (именно откат на несколько дней) . Касперский тоже не справляется
    • Paul_Backley
      От Paul_Backley
      Не удаляется вирус даже после полной очистки. 
       
      Помогите пожалуйста. 

    • Павел Дмитриевич
      От Павел Дмитриевич
      Знакомая подловила вирус - вымогатель , нужно снести его полностью и восстановить файлы
       

    • plotikkaroch
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
×
×
  • Создать...