Перейти к содержанию
Правила раздела

Подозрения на вирус.

Salieri

Автор Salieri
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

1. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O26 - Debugger: HKLM\..\'CompatTelRunner.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\'DeviceCensus.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')

 


2.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\trigger.exe','');
 QuarantineFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\prtsrn.exe','');
 QuarantineFileF('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\prtsrn.exe','32');
 DeleteFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\trigger.exe','32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Salieri

Salieri

Опубликовано
  • Автор
Опубликовано

image.thumb.png.96775c79053bda4359771cab795a06ac.png Пытаюсь отправить, нажимаю на "Отправить", ничего не происходит..

6 часов назад, Salieri сказал:

image.thumb.png.96775c79053bda4359771cab795a06ac.png Пытаюсь отправить, нажимаю на "Отправить", ничего не происходит..

Отправил на почту.

 

FRST.txtAddition.txt

SQ

SQ

Опубликовано
Опубликовано

Сами настраивали это?
  

HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender;windowsdefender;windowsdefender;windowsdefender;windowsdefender;

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
Task: {9B0013A1-73E1-45FB-8BD7-6FDA384AE5B9} - System32\Tasks\Updater Task NG => C:\Users\User\AppData\Local\Network Graphics\Network Graphics.exe  --task (Нет файла)
CustomCLSID: HKU\S-1-5-21-1434092545-4236858781-3814156544-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1434092545-4236858781-3814156544-1001_Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}\InprocServer32 ->  => Нет файла
FilesInDirectory: c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

     
  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foxlape
      Подозрения на вирус
      Автор foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Player..
      Подозрение на вирусы
      Автор Player..
      Здравствуйте! Стал замечать неожиданное открытие консоли, на протяжении 2-х дней, так-же замедления в системе, мне кажется что вирус.
      Ниже прикрепляю логи!
      CollectionLog-2023.10.27-21.01.zip
    • Арслан1
      Подозрения на вирусы.
      Автор Арслан1
      Добрый вечер. Я часто обнаруживаю на своем телефоне (андроид) включённым геолокацию, хотя я его всё время отключаю. Я подозреваю что отслеживают моё местоположение. Подскажите пожалуйста как можно защититься от отслеживания моего местоположения с помощью продукта 
       Касперского, какой антивирус необходимо приобрести?
       
      Сообщение от модератора thyrex Перенесено из вирусобойни  
    • ANDREWvl
      Подозрения на вирусы
      Автор ANDREWvl
      Здравствуйте.
      Логи приложил.
      Подозрения возникли после того, как аваст на некоторых компах начал ругаться.
      безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144
      Логи с сервера, к которому было подключение.
       
      на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.
       
      Все созданы одной датой - позавчера
      Замечал еще такую папку - RDP WRAPPER. Через avz удалил
       
      Надеюсь ничего сильно страшного.
       
       
      ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж
       
      CollectionLog-2023.11.01-12.12.zip
      да, в эти папки из far2 не попасть - доступ запрещен
    • SorcerOK
      Подозрение на вирусы
      Автор SorcerOK
      Начал медленно работать компьютер. Фризит даже при открытии папки.
      CollectionLog-2023.09.21-20.23.zip
×
×
  • Создать...