Перейти к содержанию
Правила раздела

Подскажите, что делать?

burbon

Автор burbon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

burbon

burbon

Опубликовано
Опубликовано

Добрый день, просканировал систему через AVZ и увидел много красных сточек, однако в конце AVZ написал что, найдено вирусов 0, подозрений 0. И начались падения интернета, всё начало долго грузится и в играх пинг 200. Подскажите, что делать?

 

Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 790760
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.19045,  "Windows 10 Enterprise", дата инсталляции 11.12.2022 14:38:07 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3B4->75073800
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->7580E3E7->75073830
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (296) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
Функция ntdll.dll:NtSetInformationFile (600) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
Функция ntdll.dll:NtSetValueKey (632) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
Функция ntdll.dll:ZwCreateFile (1841) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03550->7164F210
Функция ntdll.dll:ZwSetInformationFile (2143) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03270->7164F370
Функция ntdll.dll:ZwSetValueKey (2175) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F03600->7164F3E0
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7548BDE0->7164F100
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75490F70->7164F450
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78072->75076200
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E78F99->75EDE320
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD14A->652EDE90
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->73CFD179->652EE210
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 11
 Количество загруженных модулей: 247
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\Вася\AppData\Local\Temp\1807cacf-db3c-462b-8317-19e7b48a6549.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\429db0e8-0600-45ab-a18b-8c82e45cdd1a.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\6b5dd892-d3b3-4a50-ac70-4bcaee0c85a0.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\841b9781-9b96-4205-872a-a33139bb86fc.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\95822c3b-9fa1-4fcd-ad01-ae8455af46a2.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\c5858088-f9a7-40f8-a4e7-93894ce42607.tmp
Прямое чтение C:\Users\Вася\AppData\Local\Temp\f70ce670-2204-4b50-9897-1cdba3afa2ce.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик задач)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 116562, извлечено из архивов: 26001, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.10.2024 08:36:47
Сканирование длилось 00:12:19
 

на вирусы в ccleaner и через windows проверил - ничего не показало

 

ничего подозрительного не скачивал. Все файлы проверял через VirusTotal

burbon

burbon

Опубликовано
  • Автор
Опубликовано

на счёт интернета. Поставил себе DNS с помощью DNS Jumper, тоже не помогло

  • thyrex изменил название на Подскажите, что делать?
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

burbon

burbon

Опубликовано
  • Автор
Опубликовано
33 минуты назад, Sandor сказал:

Здравствуйте!

 

Файл Check_Browser_Lnk.log
 из папки

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

 

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

ClearLNK-2024.10.09_14.04.35.log AdwCleaner[S00].txt AdwCleaner[S01].txt

Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Файл AdwCleaner[C00].txt тоже прикрепите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {796A941C-7596-4432-B123-ED764B1711A5} - System32\Tasks\Ashampoo Driver Updater_Logon => C:\Program Files\Ashampoo\Ashampoo Driver Updater\ashpdu.exe  startupshow (Нет файла)
Task: {94A4FFDD-A464-422D-8D52-565FBCD489D3} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe  (Нет файла)
C:\Users\Вася\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-3792722303-225789276-3656561043-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S3 WinRing0_1_2_0; C:\Users\ROBOTC~1.RU\AppData\Local\Temp\7z05199904\WinRing0x64.sys [33176 2019-01-02] (NetEase(Hangzhou) Network Co. Ltd. -> ) <==== ВНИМАНИЕ
S3 WinDivert; \??\C:\Users\Вася\Downloads\goodbyedpi-0.2.3rc1-2\goodbyedpi-0.2.3rc1\x86_64\WinDivert64.sys [X]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6688]
AlternateDataStreams: C:\Users\Вася\AppData\Local\Microsoft:ISBD [32]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано
7 часов назад, burbon сказал:

увидел много красных сточек

Перехваты могут быть как полезными, так и вредными. AVZ только показывает, что такой перехват есть.

 

Что сейчас с остальными проблемами?

burbon

burbon

Опубликовано
  • Автор
Опубликовано

всё так же плохо грузит и пинг 200. В начале сайты грузит долго, а если потом перезагружать сайты, то быстро загружает

я пинг проверял через CMD и показывает стабильные 50-60. А если проверять на сайтах и в играх, то 90, 120, 200, 250

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Судя по логам, вы используете VPN. С отключенным та же картина?

Изменено пользователем Sandor
burbon

burbon

Опубликовано
  • Автор
Опубликовано (изменено)

я впн не использую. У меня только в хроме hola стоит для отдельных сайтов. И расширения для ютуба

 

Изменено пользователем burbon
Sandor

Sandor

Опубликовано
Опубликовано

Однако в перечне установленных программ виден

Цитата

Radmin VPN 1.4.1

 

Выполните ещё один скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
StartBatch:
  net stop bits
  net stop cryptSvc
  net stop wuauserv
  net stop msiserver
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns
  net start bfe
  net start bits
  net start cryptSvc
  net start eventsystem
  net start msiserver
  net start rpcss
  net start sdrsvc
  net start trustedinstaller
  net start vss
  net start winmgmt
  net start wuauserv
  netsh winhttp reset proxy
  bitsadmin /list /allusers
  bitsadmin /reset /allusers
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Goro
      Что делать пк тормозит
      Автор Goro
      Кароче ноут встал тормозить жокско в играх и визде раньше он в играх громко гудел и все было норм а щас заходиш в игру и он тихо тихо работат незнаю что делать вирус майнер или что хз
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • SiGiDi
      Вирус Петя, что делать
      Автор SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

    • Aлекс
      Антивирусы ничего не находят. Что делать?
      Автор Aлекс
      Несколько дней назад вечером обнаружил, что в состоянии бездействия система перезагрузилась и ожидает входа пользователя. После входа какое-то время всё было нормально, но потом работающие приложения начали отвечать с очень большими задержками, подолгу находясь в состоянии Приложение не отвечает.
      Кнопка Пуск также почти недоступна. Закрыть работающее приложение можно с большим трудом после длительного ожидания. Ещё труднее открыть, даже диспетчер задач. Индикатор работы жесткого диска непрерывно горит, но процессор загружен всего на несколько процентов, кулер не напрягается.
      Нормально завершить работу не удаётся. Долго с трудом начинается и висит в состоянии закрытия фоновых приложений. Приходится выключать длительным нажатием кнопки питания. Всё повторяется при каждом включении не зависимо от того, есть подключение к сети или нет и даже, если все приложения закрыты или не открывались.
      Антивирусы, в том числе Kaspersky Virus Removal Tool, Dr.Web CureIt!, AVZ c включенным противодействием руткитам UserMode и KernelMode ничего не находят. Использовал загрузочные флешки Kaspersky Rescue Disk и Dr.Web LiveDisk прям с сегодняшними базами. Ничего не находят.
      Прочитал один отзыв, что китайский 360TS вытравил вирус, который не нашли Касперский и Доктор Веб. От безнадёги установил 360TS, но и он ничего не нашел.
      Поскольку проблемы начинаются не сразу после загрузки, то можно всё просканировать CureIt!, AVZ или 360TS. Всё чисто. Можно выключить или перезагрузить компьютер. Но потом кино начинается. Оно как бы говорит: Ну что попробовал? Слабо тебе со мной справиться.
      Оставлял окно CureIt!, AVZ и и других так, чтобы можно было запустить сканирование одним нажатием кнопки. Когда кино начиналось, запускал сканирование. Но оно у всех идёт крайне медленно, указывая, что потребуется больше суток. Индикатор диска постоянно горит, а процессор начинает напрягаться.
      Так как при загрузке с флешки антивирусы ничего не находят, то это либо что-то им не известное, либо .... действие не зараженного процесса. Как узнать какой процесс использует жесткий диск? Хотя, думаю, что это окажется svchost.
      Система Windows 7, ноутбук Toshiba 2013 года, быстрый, работает идеально. Ни разу не было ни вирусов, ни аппаратных проблем. Используется исключительно для работы, никаких игрушек и т.п.
      Может быть, кто-либо сталкивался с подобной напастью. Буду благодарен за помощь.
    • Sergey63836272
      Поймал джона майнера, что делать
      Автор Sergey63836272
      После установки KMS AUTO провел проверку через курельт, нашлось что то . Через нетплвиз нашёл в пользователях джона , удалил . После этого ничего не было . Что дальше делать? Боюсь что делать ? 
    • Ser_S
      Что делать с правилами после удаления KSC
      Автор Ser_S
      С августа не могу запустить KSC, тех поддержка оставляет желать лучшего. Ошибка всё та же 13291. Дошло до кардинального переустановки, Ладно я уже на всё махнул рукой, мне кажется всё же проблема в KES(порты блочит), но мешать не буду, они лучше знают.  Но вопрос вот в чём, Удалил KES, KSC и везде, где встречается слово Kasper*, но в правилах брандмауэра остались записи kaspersky administration kit с портами, Вот их надо чистить или нет, где ещё надо почистить, реестр или ещё что, чтоб убрать старую инфу, которая может мешать соединиться с KSC. Как проверить БД, но вроде я нормально вхожу в неё, может пусть инсталяха создаст новую БД. Уже не знаю что придумать.
      Вот ещё не понятно MSSQL$KAV_CS_ADMIN_KIT, явно Касперская установка, но две службc с такими именами работают, почему то после деинсталkяции KSC, надо их останавливать и удалять или нет, тоже не понятно.
×
×
  • Создать...