Перейти к содержанию

[РЕШЕНО] Вирус или скрипт.


Рекомендуемые сообщения

Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!

CollectionLog-2025.01.16-19.59.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть

А кем обнаруживается вирус? установленным антивирусом, или в загрузках Хрома выходит сообщение о невозможности качать файл?

 

Это сами ставили?

 

image.png

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Проверьте настройки DNS на роутере, возможно изменены DNS сервера, вместо DNSD от провайдера добавлены другие).

Или временно измените DNS в сетевом подключении (вместо автоматического получения DNS прописать вручную, например

8.8.8.8

8.8.4.4.

После этого еще раз проверить скачивание файла,

Так же проверьте скачивание в дргом браузере (например Firefox, Edge)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

На роутере настройки проверил, там только от провайдера, лишнего нет. Через подмену dns попробовал не помогает. В edge и opere файлы не скачиваются, в firefox скачивается. 

Изменено пользователем Obivan
Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\OLE-J\DESKTOP\БИТВА\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delwmi %Sys32%\CMD.EXE
apply

regt 27

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemDrive%\PROGRAM FILES\REMPL\SEDLAUNCHER.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {32020A01-506E-484D-A2A8-BE3CF17601C3}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref {BFD98515-CD74-48A4-98E2-13D209E3EE4F}\[CLSID]
delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3A84F9C2-6164-485C-A7D9-4B27F8AC009E}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\PRINTDIALOGS.DLL
delref %Sys32%\OCPUPDATEAGENT.DLL
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\RFXVMT.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER\MSASCUI.EXE
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\CLOUDSTORAGEWIZARD.EXE
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\DUCUPDATEAGENT.DLL
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\USERLANGUAGESCPL.DLL
delref %Sys32%\SMSROUTER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.146\INSTALLER\SETUP.EXE
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KES.12.3.0\AVP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KES.12.3.0\AVPSUS.EXE
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %Sys32%\DRIVERS\LGBUSENUM64.SYS
delref %Sys32%\DRIVERS\LGJOYXLCORE64.SYS
delref %Sys32%\DRIVERS\LGVIRHID64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.146\ELEVATION_SERVICE.EXE
delref %SystemDrive%\USERS\OLE-J\APPDATA\LOCAL\TEMP\TMPACA.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\83.0.478.54\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.42\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.59\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\SETUP.EXE
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\OLE-J\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref %SystemDrive%\USERS\OLE-J\APPDATA\LOCAL\PCHEALTHCHECK\PCHEALTHCHECK.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

 

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
AlternateDataStreams: C:\Users\ole-j\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\ole-j\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4788]
HKU\S-1-5-21-1816600389-400318262-3571080682-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • PoZv
      Автор PoZv
      Добрый день, подскажите пожалуйста, как установить агента Klnagent64-15.2 с автоматической конфигурацией на Linux
      в папке с агентом файл autoanswers.conf с примерным содержанием, но не проходит, все равно открывается соглашение (скрин приложил, сам нажал Q и Y)
      KLNAGENT_SERVER=мой сервер KLNAGENT_PORT=14000 KLNAGENT_SSLPORT=13000 KLNAGENT_USESSL=Y KLNAGENT_GW_MODE=2
    • Falcon
      Автор Falcon
      Как выполнить скрипт в AVZ?
       
      Утилита AVZ находится в папке ..\AutoLogger\AV, т.е. там, откуда Вы запускали автоматический сборщик логов.
       
      Перед выполнением скрипта отключитесь от Интернета. Выключите антивирус и фаервол, а также другое программное обеспечение.
       
      1. Выделите правой кнопкой мыши весь скрипт, который Вам написал консультант и вызовите контекстное меню щелчком правой кнопки мышки и выберите Копировать
      2. Запустите файл AV_Z.exe, нажмите Файл и в выпавшем меню нажмите Выполнить скрипт
      3. В появившемся окне вызовите контекстное меню щелчком правой клавиши мышки и нажмите Вставить
      4. И нажмите в этом же окне на кнопку Запустить
      Ниже на анимации для наглядности показан пример действий:


    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • SergeyUfa
      Автор SergeyUfa
      Здравствуйте, помогите пожалуйста, на сайте завелся вирус, при переходе из поисковых систем, в некоторых разделах сайта появляется текст ведущий нелегальные казино и порно-контент, сайт на битриксе, не как отловить не можем, все модули проверили, может кто сталкивался?
×
×
  • Создать...