Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте!

 

Выполните в безопасном режиме (важно!)

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\cacservice\cacservices.exe');
 TerminateProcessByName('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\arcgareqhptxnh.exe');
 TerminateProcessByName('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\hs9nwphwjvn.exe');
 TerminateProcessByName('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\qhalmegztim.exe');
 TerminateProcessByName('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\vfuiqkrcch5af4x.exe');
 QuarantineFile('c:\programdata\cacservice\cacservices.exe', '');
 QuarantineFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\arcgareqhptxnh.exe', '');
 QuarantineFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\hs9nwphwjvn.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\9630ED70-35F13C14-A15C718C-D6B1C820\NTYebrQz.dll', '');
 QuarantineFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\qhalmegztim.exe', '');
 QuarantineFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\vfuiqkrcch5af4x.exe', '');
 DeleteFile('c:\programdata\cacservice\cacservices.exe', '');
 DeleteFile('C:\ProgramData\CACService\CACServices.exe', '64');
 DeleteFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\arcgareqhptxnh.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\arcgareqhptxnh.exe', '64');
 DeleteFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\hs9nwphwjvn.exe', '');
 DeleteFile('C:\Users\user\AppData\Local\Temp\9630ED70-35F13C14-A15C718C-D6B1C820\NTYebrQz.dll', '');
 DeleteFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\qhalmegztim.exe', '');
 DeleteFile('c:\users\user\appdata\local\temp\9630ed70-35f13c14-a15c718c-d6b1c820\vfuiqkrcch5af4x.exe', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CAC Service', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Изменено пользователем Sandor
Опубликовано

Хорошо, уже должно полегчать.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...