Перейти к содержанию
Правила раздела

[РЕШЕНО] стиллер

wastezxc

Автор wastezxc
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

wastezxc

wastezxc

Опубликовано
Опубликовано

после вирус не работают gpedit, regedit и никакие такие файлы

 

так же интернет стал медленее

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - Autorun.inf: D:\autorun.inf - open - sources\SetupError.exe x64 (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: IObit ET2025Sale (One-time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\etml.exe /rpop (file missing)
O26 - Debugger (Stack Rumbling): HKLM\..\a2service.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\acnamagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\acnamlogonagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AnVir.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\anvir64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\anvirlauncher.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\aswidsagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastUI.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastUI.p.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avgnt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avgsvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avguard.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AVKService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avpui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bdagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bdservicehost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\BullGuardSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ccSvcHst.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\clientcommunicationservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\cmdagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\CybereasonRansomFreeService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\DeepInstinctService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dwservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\egui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ekrn.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\EPConsole.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\FRST64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\F-Secure.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GDataAVK.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\HeimdalClientHost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\kldw.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\klwtblfs.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\KVRT.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamtray.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mcshield.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mfeesp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mfetp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\n360.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\nortonsecurity.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ntrtscan.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\OpenHardwareMonitor.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\panda_url_filtering.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pavfnsvr.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pavsrv.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pccntmon.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PSANHost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PSUAService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\regedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SAVAdminService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SAVService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SBAMSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SecureAPlus.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\shstat.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Smc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosav.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosclean.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophoshealth.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophossps.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\TMASOAgent.exe.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\TrustwaveService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\V3Svc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\VirusTotalUpload.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vsserv.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\WRSA.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ZAPrivacyService.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2857247769-2981909133-3522278581-1001\...\Run: [AK820MAX] => C:\Program Files (x86)\AJAZZ单模RGB磁轴驱动\AK820MAX.exe --AutoUp (Нет файла)
Folder: C:\ProgramData\Microsoft OneDriveqmx
Folder: C:\ProgramData\Microsoft OneDrivefaf
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Ещё один скрипт выполните.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Program Files"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
Remove-MpPreference -ExclusionPath "C:\Users\leroy\AppData\Roaming"
Remove-MpPreference -ExclusionPath "C:\Users\leroy\AppData\Local"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\Public"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Дополнительно соберите ещё раз CollectionLog Автологером.

Sandor

Sandor

Опубликовано
Опубликовано
7 часов назад, Sandor сказал:

соберите ещё раз CollectionLog Автологером

Не заметили?

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
    • KL FC Bot
      SparkKitty: новый троян-стилер в App Store и Google Play | Блог Касперского
      Автор KL FC Bot
      Ваши снимки — это буквально ключи к личной жизни. В галерее мы храним планы на будущее, собственные финансовые секреты, фотографии котиков, а порой даже то, чем нельзя делиться ни с кем. Но как часто вы задумываетесь о защите своих снимков? Надеемся, что после истории с кроссплатформенным трояном-стилером SparkCat — чаще обычного.
      Мы обнаружили младшего брата этой угрозы. Троян ласково назвали SparkKitty. Но не обольщайтесь, за милым названием скрывается шпион, который, как и его старший брат, нацелен на кражу фотографий со смартфонов жертв. В чем особенности этой угрозы и почему ей нужно уделить внимание владельцам Android и iPhone?
      Как SparkKitty попадает на устройства
      Стилер распространяется двумя способами: в дикой природе — то есть на безымянных просторах Интернета, и в официальных магазинах приложений — App Store и Google Play. Обо всем по порядку.
       
      View the full article
    • preamble
      [РЕШЕНО] Вирус, маскирующийся под qBitTorrentPro + SteamUpdate
      Автор preamble
      В очередной раз здравствуйте!
       
      После проверки ПК через KasperskyFree было обнаружено немало вредоносного софта, явно маскирующегося под относительно популярные программы.
       
      Чистку антивирусом не проводил, хотелось бы изучить структуру и понять возможный нанесенный вред.
       
      Заранее благодарю за ответ!
      CollectionLog-2025.03.31-18.48.zip
    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
×
×
  • Создать...