Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Не могу вылечить вирус в системной памяти.

Zero56621

Автор Zero56621
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Да, слона среди остального хлама я, конечно, пропустил. Но для кого я писал об удалении программ из списка после предыдущего скрипта???

Сначала удалите указанные мной программы, а только потом выполняйте написанное ниже.

 

Выполните написанное ниже в безопасном режиме загрузки.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {B58127D5-512C-41FA-A11A-99BDF0CB496B} - System32\Tasks\ZoomUpdateTaskUser-S-1-5-21-1967492804-1433625462-2827246519-1001 => "C:\Users\MSI\AppData\Roaming\Zoom\bin\Zoom.exe"  --action=UpdateSchedule (Нет файла)
U2 BITS_bkp; C:\Windows\System32\qmgr.dll [1662976 2022-04-15] (Microsoft Windows -> Microsoft Corporation)
S3 luminati_net_updater_win_hola_browser_hola_org; C:\Program Files\Hola\app\net_updater64.exe [9037808 2024-12-21] (Bright Data Ltd -> BrightData Ltd. (certified))
U2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [94208 2022-04-15] (Microsoft Windows -> Microsoft Corporation)
U3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [462848 2022-03-11] (Microsoft Windows -> Microsoft Corporation)
S2 WindowsAutHost; C:\ProgramData\WindowsServices\WindowsAutHost [15887872 2025-01-11] () [Файл не подписан] <==== ВНИМАНИЕ
U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3555328 2022-04-15] (Microsoft Windows -> Microsoft Corporation)
C:\ProgramData\WindowsServices\WindowsAutHost
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
Hosts:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [84f2c994-392d-49a8-bbbf-e4944efc3adb] => "C:\Users\MSI\AppData\Local\Temp\{f3e1cdf8-17cd-46ee-aaa1-dc68f2825cd4}\84f2c994-392d-49a8-bbbf-e4944efc3adb.cmd" (Нет файла) <==== ВНИМАНИЕ
Startup: C:\Users\MSI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome updater.exe [2021-06-05] (Microsoft Corporation -> Microsoft Corporation) <==== ВНИМАНИЕ
Startup: C:\Users\MSI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GameRanger.lnk [2024-11-24]
ShortcutTarget: GameRanger.lnk -> C:\Users\MSI\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe (Нет файла)
HKU\S-1-5-21-1967492804-1433625462-2827246519-1001\...\MountPoints2: {79169c2a-920b-11ec-8a0e-cc1531e97e75} - "F:\Autoplay.exe" -auto
Task: {04F01459-DD2C-41CD-827A-46B413E77492} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe  -sr (Нет файла)
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\fpcamkoabkimnpflhpbifkebbcgmimdc
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\ggiollicpcadolgaododfnebhdfnajdc
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\gipepoalhahdlkgolcedcelolkpeklbk
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\gohjiicokgdelgdopecnkdahlkgoefhn
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\ikakdffjjhggdkhkckoepkcocgmckeen
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\khmmjbafigggfjmhcblahdmphmhbopeb
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\kkipbepphjlnekahppapjpobaknpfpmk
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\mdjgmkmpeacmdpdkfjfcgklppnikdoap
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\mkldmpokadambioidmimcolfjdlofgop
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\nedldgfjnjaeaibellnacchdamcpdiie
C:\Users\MSI\AppData\Local\Microsoft\Edge\User Data\Profile 2\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Если не поможет, тогда только пробовать сносить установленные расширения для браузеров.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Ну Вы бы хоть написали, изменилось ли что-нибудь с проблемой. Неужели я должен постоянно клещами из Вас информацию вытягивать...

Ссылка на комментарий
Поделиться на другие сайты
Zero56621

Zero56621

Опубликовано
  • Автор
Опубликовано

Извиняюсь, просто результат не сразу заметен, KVRT все еще обнаруживает 4 проблемы

 

Если что, снес все расширения

 

 

Мне уже ничего не поможет?

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Вы в каком режиме удаляли мой предпоследний скрипт?

 

У меня такое ощущение, что читать внимательно Вы не в состоянии. Было написано

2 часа назад, thyrex сказал:

Выполните написанное ниже в безопасном режиме загрузки.

А в логе работы я вижу

Цитата

Режим загрузки: Normal

Так конечно можно лечиться до посинения. Переделывайте..

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир А.К.
      [РЕШЕНО] Не могу вылечить вирусы HEUR:Trojan.Multi.GenBadur.genw, HEUR:Trojan.JS.Trolec.gen и HEUR:Trojan.Script.Agent.gen
      Автор Владимир А.К.
      Здравствуйте! Пожалуйста, помогите с удалением вируса.
      После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел).
      Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов).

      CollectionLog-2025.07.26-19.55.zip
    • scaramuccia
      Системное администрирование
      Автор scaramuccia
      Добрый день. Нашему подразделению предоставляется лицензионный ключ Касперского. Я установил KSC, сделал его подчиненным указанному нам серверу, с которого распространяется ключ и политика, и к которому напрямую у меня нет доступа. Все работает и управляется прекрасно. Но многие полезные функции KSC мне недоступны из-за отсутствия лицензии на системное администрирование. Позволяет ли мне данная лицензия использовать системное администрирование? Или ее надо приобретать отдельно для своего сервера?

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
×
×
  • Создать...