Перейти к содержанию
Правила раздела

Подозрения на вирус.

Salieri

Автор Salieri,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

SQ

SQ 831

Опубликовано
Опубликовано

Здравствуйте,

1. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O26 - Debugger: HKLM\..\'CompatTelRunner.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\'DeviceCensus.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')

 


2.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\trigger.exe','');
 QuarantineFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\prtsrn.exe','');
 QuarantineFileF('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\prtsrn.exe','32');
 DeleteFile('c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af\trigger.exe','32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Salieri

Salieri 0

Опубликовано
  • Автор
Опубликовано

image.thumb.png.96775c79053bda4359771cab795a06ac.png Пытаюсь отправить, нажимаю на "Отправить", ничего не происходит..

6 часов назад, Salieri сказал:

image.thumb.png.96775c79053bda4359771cab795a06ac.png Пытаюсь отправить, нажимаю на "Отправить", ничего не происходит..

Отправил на почту.

 

FRST.txtAddition.txt

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 831

Опубликовано
Опубликовано

Сами настраивали это?
  

HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender;windowsdefender;windowsdefender;windowsdefender;windowsdefender;

 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
Task: {9B0013A1-73E1-45FB-8BD7-6FDA384AE5B9} - System32\Tasks\Updater Task NG => C:\Users\User\AppData\Local\Network Graphics\Network Graphics.exe  --task (Нет файла)
CustomCLSID: HKU\S-1-5-21-1434092545-4236858781-3814156544-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1434092545-4236858781-3814156544-1001_Classes\CLSID\{d93ed569-3b3e-4bff-8355-3c44f6a52bb5}\InprocServer32 ->  => Нет файла
FilesInDirectory: c:\users\user\appdata\local\packages\microsoft.windows.accounts.controlrcp_ruzxpnew4af
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

     
  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • GlockKatana
      PowerShell. Командная строка при запуске ПК включается и исчезает
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • AutoMaging
      Помощь с неизвестным вирусом
      От AutoMaging
      Я не знаю что происходит но теперь на пк есть: Trojan:Win32/Khalesi.RL!MTB
      который делает вот такие вещи:
      file: C:\ProgramData\{F4D3C3EF-1BD2-F6B6-D710-5F7E67C15AE8}\596c1370.exe regkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} runkey: HKCU@S-1-5-21-2159654326-3945755807-2332048930-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\{68C3EBDF-33E2-6AA6-D710-5F7E67C15AE8} 
      Подскажите что происходит

      P.S + ещё вирусняки которые я не знаю

    • Ksaltotyn
      вирус маскирующийся под антивирус касперского
      От Ksaltotyn
      Проблема в следующем. Kaspersky Anti-virus сообщает, что им был остановлен переход на недоверенный сайт. Без проблем заходит на гугол, ютуб и другие крупные сайты. На форум и сайт касперского пускает без проблем, но уже на safezone.cc ссылка постоянно блочится. С остальными сайтами иногда пускает, иногда нет. Иногда позволяет сделать выбор и разрешает "несмотря на опасность перехода по опасной ссылке" пройти на сайт, однако вместо нужного адреса перенаправляет на другой ( там размещен опросник, после которого предлагают что-то купить, дальше я не заходил). При отключении антивируса, переход на сайты продолжают блочить уже под видом внутреннего защитника винды. Аналогичная проблема на трех компьютерах, подключенных к одному модему. 
      Проверял самим антивирусом, его ответ - проблем нет. Сканировал AVZ, AVbr, KVRT, Adwcleaner, FRST. Результат один и тот же, ничего не найдено. FRST выкладки смотрел, возможно чего-то не увидел или не понял. Autologger скачать не дает.
      Браузер хром и ейдж. К хрому ставил расширения WebDefender: Antivirus & Privacy Protection и Kaspersky Protection (включены оба, по одному, отключены). На ситуацию влияют слабо, иногда позволяют перейти на искомый сайт. Отчет и скрины приложил.
      Какой будет диагноз?


      Addition.txt FRST.txt отчет каспера.txt
    • Fine
      Genshin Impact_launcher_pcseaepic_1_3
      От Fine
      Приложение Genshin Impact_launcher_pcseaepic_1_3 отображается в автозагрузке Kaspersky, но не отображается в автозагрузке Windows. 

    • ежице
      репак и вроде как вылечившийся троян
      От ежице
      после установки репака антивирус нашел троян и предложил лечение с перезагрузкой компа. После чего я проверила еще раз и угроз не обнаружилось, но меня смущает один момент. Репак не получилось проверить, напротив в отчетах написано "ошибка обработки". Надо ли мне из-за этого беспокоится?

×
×
  • Создать...