Palenko 0 Опубликовано 29 января Share Опубликовано 29 января после установки некоторых пиратских по - возникла проблема с обнаружением неких шпионских по - которые не могут быть удалены! они постоянно меняются в названии но чаще всего я обнаруживаю именно название HOST:SUSPICIOUS.URL CollectionLog-2024.01.30-00.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 29 января Share Опубликовано 29 января подготовьте, пожалуйста, дополнительные логи: Quote Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. + образ автозапуска в uVS Добавьте образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января Всё готово! DESKTOP-N6LML8K_2024-01-30_13-03-46_v4.15.1.7z Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 30 января Share Опубликовано 30 января Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт автоматически очистит систему, и перезагрузит ее. Start:: CloseProcesses: Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype для бизнеса.lnk:DCFC4C61B7 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442] EmptyTemp: Reboot: End:: Напишите по результат очистки. Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января Провела очистку скриптом, пк перезагрузился, вирус не удалился Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 30 января Share Опубликовано 30 января (изменено) В какой программе обнаруживается данный вирус? Куреит? Изменено 30 января пользователем safety Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января Dr.Web Curelt Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 30 января Share Опубликовано 30 января Добавьте файл логов Дрвеб КУрейт в ваше сообщение. Если файл большой, поместите его в архив. Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января cureit.rar Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 30 января Share Опубликовано 30 января C:\WINDOWS\system32\drivers\etc\hosts - probably infected with HOSTS:SUSPICIOUS.URL C:\WINDOWS\system32\drivers\etc\hosts - infected - 0ms, 0 bytes Я думаю, это реакция на закомментированные строки: пробуйте этот блок очистить в hosts с помощью блокнота, и еще раз после этого выполнить сканирование в курейт. # 0.0.0.0 avast.com # cured by Dr.Web # 0.0.0.0 www.avast.com # cured by Dr.Web # 0.0.0.0 totalav.com # cured by Dr.Web # 0.0.0.0 www.totalav.com # cured by Dr.Web # 0.0.0.0 scanguard.com # cured by Dr.Web # 0.0.0.0 www.scanguard.com # cured by Dr.Web # 0.0.0.0 totaladblock.com # cured by Dr.Web # 0.0.0.0 www.totaladblock.com # cured by Dr.Web # 0.0.0.0 pcprotect.com # cured by Dr.Web # 0.0.0.0 www.pcprotect.com # cured by Dr.Web # 0.0.0.0 mcafee.com # cured by Dr.Web # 0.0.0.0 www.mcafee.com # cured by Dr.Web # 0.0.0.0 bitdefender.com # cured by Dr.Web # 0.0.0.0 www.bitdefender.com # cured by Dr.Web # 0.0.0.0 us.norton.com # cured by Dr.Web # 0.0.0.0 www.us.norton.com # cured by Dr.Web # 0.0.0.0 avg.com # cured by Dr.Web # 0.0.0.0 www.avg.com # cured by Dr.Web # 0.0.0.0 malwarebytes.com # cured by Dr.Web # 0.0.0.0 www.malwarebytes.com # cured by Dr.Web # 0.0.0.0 pandasecurity.com # cured by Dr.Web # 0.0.0.0 www.pandasecurity.com # cured by Dr.Web # 0.0.0.0 surfshark.com # cured by Dr.Web # 0.0.0.0 www.surfshark.com # cured by Dr.Web # 0.0.0.0 avira.com # cured by Dr.Web # 0.0.0.0 www.avira.com # cured by Dr.Web # 0.0.0.0 norton.com # cured by Dr.Web # 0.0.0.0 www.norton.com # cured by Dr.Web # 0.0.0.0 eset.com # cured by Dr.Web # 0.0.0.0 www.eset.com # cured by Dr.Web # 0.0.0.0 Zillya.com # cured by Dr.Web # 0.0.0.0 www.Zillya.com # cured by Dr.Web # 0.0.0.0 kaspersky.com # cured by Dr.Web # 0.0.0.0 www.kaspersky.com # cured by Dr.Web # 0.0.0.0 usa.kaspersky.com # cured by Dr.Web # 0.0.0.0 www.usa.kaspersky.com # cured by Dr.Web # 0.0.0.0 dpbolvw.net # cured by Dr.Web # 0.0.0.0 www.dpbolvw.net # cured by Dr.Web # 0.0.0.0 sophos.com # cured by Dr.Web # 0.0.0.0 www.sophos.com # cured by Dr.Web # 0.0.0.0 home.sophos.com # cured by Dr.Web # 0.0.0.0 www.home.sophos.com # cured by Dr.Web # 0.0.0.0 www.adaware.com # cured by Dr.Web # 0.0.0.0 adaware.com # cured by Dr.Web # 0.0.0.0 www.ahnlab.com # cured by Dr.Web # 0.0.0.0 ahnlab.com # cured by Dr.Web # 0.0.0.0 www.bullguard.com # cured by Dr.Web # 0.0.0.0 bullguard.com # cured by Dr.Web # 0.0.0.0 clamav.net # cured by Dr.Web # 0.0.0.0 www.clamav.net # cured by Dr.Web # 0.0.0.0 www.drweb.com # cured by Dr.Web # 0.0.0.0 drweb.com # cured by Dr.Web # 0.0.0.0 emsisoft.com # cured by Dr.Web # 0.0.0.0 www.emsisoft.com # cured by Dr.Web # 0.0.0.0 www.f-secure.com # cured by Dr.Web # 0.0.0.0 f-secure.com # cured by Dr.Web # 0.0.0.0 www.zonealarm.com # cured by Dr.Web # 0.0.0.0 zonealarm.com # cured by Dr.Web # 0.0.0.0 www.trendmicro.com # cured by Dr.Web # 0.0.0.0 trendmicro.com # cured by Dr.Web # 0.0.0.0 www.ccleaner.com # cured by Dr.Web # 0.0.0.0 ccleaner.com # cured by Dr.Web # 0.0.0.0 www.virustotal.com # cured by Dr.Web # 0.0.0.0 virustotal.com # cured by Dr.Web127.0.0.1 genuine-software.autodesk.com Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января После удаления строк, антивирус не обнаружил угроз. Но данную манипуляция ранее уже выполняли и через какое то время антивирус снова находил там угрозу. Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 30 января Share Опубликовано 30 января А через примерно какое время? понаблюдайте некоторое время, если сработает, напишите, будем дальше искать причину. Цитата Ссылка на сообщение Поделиться на другие сайты
Palenko 0 Опубликовано 30 января Автор Share Опубликовано 30 января 24-48 часов. Хорошо, понаблюдаем Цитата Ссылка на сообщение Поделиться на другие сайты
safety 101 Опубликовано 1 февраля Share Опубликовано 1 февраля Проверили? Есть новые обнаружения? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.