Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

Подскажите, что делать?

burbon

От burbon
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

burbon Постоялец

burbon

Опубликовано
Опубликовано

Добрый день, просканировал систему через AVZ и увидел много красных сточек, однако в конце AVZ написал что, найдено вирусов 0, подозрений 0. И начались падения интернета, всё начало долго грузится и в играх пинг 200. Подскажите, что делать?

 

Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.19045,  "Windows 10 Enterprise", дата инсталляции 11.12.2022 14:38:07 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3B4->75073800
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3E7->75073830
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
Функция ntdll.dll:NtSetInformationFile (600) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
Функция ntdll.dll:NtSetValueKey (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
Функция ntdll.dll:ZwCreateFile (1841) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
Функция ntdll.dll:ZwSetInformationFile (2143) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
Функция ntdll.dll:ZwSetValueKey (2175) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7548BDE0->7164F100
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75490F70->7164F450
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78072->75076200
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78F99->75EDE320
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD14A->652EDE90
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD179->652EE210
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 11
 Количество загруженных модулей: 247
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\Вася\AppData\Local\Temp\1807cacf-db3c-462b-8317-19e7b48a6549.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\429db0e8-0600-45ab-a18b-8c82e45cdd1a.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\6b5dd892-d3b3-4a50-ac70-4bcaee0c85a0.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\841b9781-9b96-4205-872a-a33139bb86fc.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\95822c3b-9fa1-4fcd-ad01-ae8455af46a2.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\c5858088-f9a7-40f8-a4e7-93894ce42607.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\f70ce670-2204-4b50-9897-1cdba3afa2ce.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик задач)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 116562, извлечено из архивов: 26001, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.10.2024 08:36:47
Сканирование длилось 00:12:19
 

на вирусы в ccleaner и через windows проверил - ничего не показало

 

ничего подозрительного не скачивал. Все файлы проверял через VirusTotal

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex changed the title to Подскажите, что делать?
burbon Постоялец

burbon

Опубликовано
  • Автор
Опубликовано

всё сделал

 

CollectionLog-2024.10.09-11.54.zip

 

3 часа назад, safety сказал:

«Порядок оформления запроса о помощи».

касперский удалил гудбай дипиай только

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
burbon Постоялец

burbon

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Sandor сказал:

Здравствуйте!

 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

 

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

ClearLNK-2024.10.09_14.04.35.log AdwCleaner[S00].txt AdwCleaner[S01].txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Файл AdwCleaner[C00].txt тоже прикрепите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {796A941C-7596-4432-B123-ED764B1711A5} - System32\Tasks\Ashampoo Driver Updater_Logon => C:\Program Files\Ashampoo\Ashampoo Driver Updater\ashpdu.exe  startupshow (Нет файла)
Task: {94A4FFDD-A464-422D-8D52-565FBCD489D3} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe  (Нет файла)
C:\Users\Вася\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-3792722303-225789276-3656561043-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S3 WinRing0_1_2_0; C:\Users\ROBOTC~1.RU\AppData\Local\Temp\7z05199904\WinRing0x64.sys [33176 2019-01-02] (NetEase(Hangzhou) Network Co. Ltd. -> ) <==== ВНИМАНИЕ
S3 WinDivert; \??\C:\Users\Вася\Downloads\goodbyedpi-0.2.3rc1-2\goodbyedpi-0.2.3rc1\x86_64\WinDivert64.sys [X]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6688]
AlternateDataStreams: C:\Users\Вася\AppData\Local\Microsoft:ISBD [32]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
7 часов назад, burbon сказал:

увидел много красных сточек

Перехваты могут быть как полезными, так и вредными. AVZ только показывает, что такой перехват есть.

 

Что сейчас с остальными проблемами?

Ссылка на комментарий
Поделиться на другие сайты
burbon Постоялец

burbon

Опубликовано
  • Автор
Опубликовано

всё так же плохо грузит и пинг 200. В начале сайты грузит долго, а если потом перезагружать сайты, то быстро загружает

я пинг проверял через CMD и показывает стабильные 50-60. А если проверять на сайтах и в играх, то 90, 120, 200, 250

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Судя по логам, вы используете VPN. С отключенным та же картина?

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
burbon Постоялец

burbon

Опубликовано
  • Автор
Опубликовано (изменено)

я впн не использую. У меня только в хроме hola стоит для отдельных сайтов. И расширения для ютуба

 

Изменено пользователем burbon
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Однако в перечне установленных программ виден

Цитата

Radmin VPN 1.4.1

 

Выполните ещё один скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
StartBatch:
  net stop bits
  net stop cryptSvc
  net stop wuauserv
  net stop msiserver
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns
  net start bfe
  net start bits
  net start cryptSvc
  net start eventsystem
  net start msiserver
  net start rpcss
  net start sdrsvc
  net start trustedinstaller
  net start vss
  net start winmgmt
  net start wuauserv
  netsh winhttp reset proxy
  bitsadmin /list /allusers
  bitsadmin /reset /allusers
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • failkey
      MALWARE.URL
      От failkey
      Не знаю как удалить Трояны. Остаются даже после восстановления винды (именно откат на несколько дней) . Касперский тоже не справляется
    • SiGiDi
      Вирус Петя, что делать
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

    • KL FC Bot
      Взломали аккаунт в Telegram: что делать | Блог Касперского
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • rafikoff
      Что делать ? Зашифрованы/удалены все разделы двух дисков
      От rafikoff
      Здравствуйте , All
      Ко мне обратились знакомые моего друга.
      У них произошла большая неприятность с Windows. Был установлен лицензионный KIS.
      В последний день работы у них начал подтормаживать компьютер, и при последнем заходе - не принимал пароль от логина.
      Выключили - получили след ситуацию. Windows перестала загружаться.
      Загрузчик просит пароль. Вводишь любой пароль - пишет Missing operating system
      Загрузился с Win PE Strelec - Акронис и диспетчер задач пишет, что все разделы не отформатированы.
      GetDataBack написал файловая система не найдена.
      R-Studio тоже самое, но он видит файлы в куче без структуры.
      Что может быть причиной данной проблемы? 
      Что делать? для восстановления документов , часть находится на рабочем столе, часть на hdd.



    • failkey
      MALWARE.URL
      От failkey
      Не знаю как удалить Трояны. Остаются даже после восстановления винды (именно откат на несколько дней) . Касперский тоже не справляется
×
×
  • Создать...