Вадим666 Опубликовано 5 мая Опубликовано 5 мая (изменено) PUA:Win32/Vigua.A PUA:Win32/Packunwan PUATorrent:Win32/uTorrent PUA:Win32/Softcnapp Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта KES и KSC Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection Изменено 5 мая пользователем Вадим666
Sandor Опубликовано 5 мая Опубликовано 5 мая Здравствуйте! Начните с выполнения правил - Порядок оформления запроса о помощи
Вадим666 Опубликовано 5 мая Автор Опубликовано 5 мая (изменено) CollectionLog-2025.05.05-11.34 (2).zipKVRT не обнаружил нечего. Лог АсвологераCollectionLog-2025.05.05-11.34 (2).zip FRST.7z Изменено 5 мая пользователем Вадим666
Sandor Опубликовано 5 мая Опубликовано 5 мая Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса. Вопросы: PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте. Программа sinister-journal вам известна? Если нет, тоже удалите. После этого: Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером.
Вадим666 Опубликовано 5 мая Автор Опубликовано 5 мая ок эта да нужна sinister-journal эту под снос симантик был щас чистану ну и затем AV приложу 5 часов назад, Sandor сказал: Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса. Вопросы: PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте. Программа AV_block_remover.7z вам известна? Если нет, тоже удалите. После этого: Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera Чистку произвел от Symantec Endpoint Protection
Sandor Опубликовано 5 мая Опубликовано 5 мая 8 минут назад, Вадим666 сказал: sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera Удалите принудительно с помощью Geek Uninstaller
Вадим666 Опубликовано 5 мая Автор Опубликовано 5 мая 8 минут назад, Sandor сказал: Удалите принудительно с помощью Geek Uninstaller снес
Вадим666 Опубликовано 5 мая Автор Опубликовано 5 мая 1 час назад, Sandor сказал: Хорошо, продолжайте (AVbr) AV_block_remover.7z готово
Sandor Опубликовано 5 мая Опубликовано 5 мая Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Вадим666 Опубликовано 6 мая Автор Опубликовано 6 мая 15 часов назад, Sandor сказал: Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. готово Desktop.7z
Sandor Опубликовано 6 мая Опубликовано 6 мая Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings) CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ 2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec File: C:\Users\shket\rtadmin.exe AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146] AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122] FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247 FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246 FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245 FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422 FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Вадим666 Опубликовано 6 мая Автор Опубликовано 6 мая 12 минут назад, Sandor сказал: Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings) CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ 2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec File: C:\Users\shket\rtadmin.exe AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146] AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122] FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247 FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246 FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245 FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422 FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.Fixlog.txt готово 12 минут назад, Sandor сказал: Подробнее читайте в этом руководстве.
Вадим666 Опубликовано 6 мая Автор Опубликовано 6 мая 5 минут назад, mike 1 сказал: Здравствуйте, лог файл забыли прикрепить к сообщению. Fixlog.txt он прикреплен прикрепил повторно
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти