Перейти к содержанию
Правила раздела

Есть ли что-то подозрительное в системе?

Gennadiy

Автор Gennadiy
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Gennadiy

Gennadiy

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Вчера устанавливал приложения для прокси Cloudflare Warp и WireGuard (потом их удалил) и смотрел в YouTube инструкцию как всё это сделать. И при открытом YouTube (больше я ничего не делал и никуда не заходил) выскочило вдруг окно Касперского со следующей информацией:

Событие: Остановлен переход на сайт

Пользователь: NEOS\Пользовательдва

Тип пользователя: Инициатор

Имя приложения: firefox.exe

Путь к приложению: C:\Program Files\Mozilla Firefox

Компонент: Интернет-защита

Описание результата: Запрещено

Тип: Вредоносная ссылка

Название: bro.kosmohubeq.space/code/mizweojtg45ha3ddf42dsnbx

Точность: Точно

Степень угрозы: Высокая

Тип объекта: Веб-страница

Имя объекта: mizweojtg45ha3ddf42dsnbx

Путь к объекту: bro.kosmohubeq.space/code

Причина: Облачная защита

 

Посмотрите, пожалуйста, нет ли никакого вируса.

CollectionLog-2024.07.29-18.33.zip

Изменено пользователем Gennadiy
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - TroubleShooting (EV): HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\ (Missing: %ProgramFiles%\WindowsPowerShell\Modules)
O22 - Tasks: {38206C8A-0D61-46B4-A8D7-613DFA6CE4EB} - C:\Windows\system32\pcalua.exe -a E:\autorun.exe -d E:\ (sign: 'Microsoft')
O22 - Tasks: {B1C90D6A-4173-495C-861C-AE4DE2016F2A} - C:\WINDOWS\system32\msiexec.exe /package "C:\Users\Пользовательдва\Desktop\Cloudflare_WARP_Release-x64.msi" (sign: 'Microsoft')
O22 - Tasks_Migrated: {38206C8A-0D61-46B4-A8D7-613DFA6CE4EB} - C:\Windows\system32\pcalua.exe -a E:\autorun.exe -d E:\ (sign: 'Microsoft')
O22 - Tasks_Migrated: {B1C90D6A-4173-495C-861C-AE4DE2016F2A} - C:\WINDOWS\system32\msiexec.exe /package "C:\Users\Пользовательдва\Desktop\Cloudflare_WARP_Release-x64.msi" (sign: 'Microsoft')

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Gennadiy

Gennadiy

Опубликовано
  • Автор
Опубликовано

Скажите, пожалуйста, если я пофиксю в HijackThis всё вот это выше, что вы указали, то не будут удалены такие файлы как pcalua.exe и msiexec.exe из папки system32? Это ведь системные файлы насколько я понял и не повредит ли всё это системе?

 

Sandor

Sandor

Опубликовано
Опубликовано

Нет, будут удалены только задания.

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
 

  1. Отключите до перезагрузки антивирус.
  2. Выделите следующий код:
      
  3. Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [302]
FirewallRules: [{D88B0129-FC49-40BB-B9D5-6A1709CEEF17}] => (Allow) C:\Users\Пользовательдва\AppData\Local\Temp\7zS69B8\hppiw.exe => Нет файла
FirewallRules: [{EB32C0C6-3964-4DF2-BB01-508E60B6F7C5}] => (Allow) C:\Users\Пользовательдва\AppData\Local\Temp\7zS69B8\hppiw.exe => Нет файла
EmptyTemp:
Reboot:
End::
  4. Скопируйте выделенный текст (правой кнопкой - Копировать).
  5. Запустите FRST (FRST64) от имени администратора.
  6. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
×
×
  • Создать...