Перейти к содержанию
Правила раздела

Пробрался вирус, после загрузки файла

slavapc

Автор slavapc
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

slavapc

slavapc

Опубликовано
Опубликовано

Здравствуйте, ув. консультант. Я загрузил программу на свой пк, после чего было установлено множество всяческих сторонних программ и появилась жуткая, навязчивая реклама в браузере, от которой я пытался избавиться разными способами (сторонние программы я кажется удалил). Я сканировал пк этими программами: Ccleaner, AdwCleaner, Malwarebytes Anti-Malware и avz. После всех сканирований я пришел сюда, а увидев скрипт, который предлагался другому пользователю, я скопировал его и произвел на своем пк. Только потом я понял, что не стоило этого делать.

 

Вообщем-то, до сих пор вирус-реклама находится в моем компьютере.

 

Предоставляю логи из сборщика. Кажется, все сделал по пунктам.

 

 

Спасибо!

CollectionLog-2015.09.13-03.03.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','');
QuarantineFile('C:\Users\Андрей\AppData\Roaming\WindowsUpdater\Updater.exe','');
DeleteFile('C:\Users\Андрей\AppData\Roaming\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\WindowsUpdater','64');
DeleteFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

slavapc

slavapc

Опубликовано
  • Автор
Опубликовано

Предоставляю новые логи и ответ от newvirus@kaspersky.com.

 

 

 

[KLAN-3134108636]


Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

CollectionLog-2015.09.13-13.39.zip

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано
> Chrome Search

 

удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {04B205BB-6A13-4BFF-B32F-9F4479CCF2BA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {09E10F06-6953-4A7A-8EDF-408AD1FF21CB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {0DE1B252-8939-4842-BCC4-95237FA449D8} - \VSProtector -> No File <==== ATTENTION
Task: {4A29BAD0-E93D-4FDC-A5F7-D81396217344} - \WindowsUpdater -> No File <==== ATTENTION
Task: {6E72EBB7-C3C0-4CE6-98E5-EE04E5BF171C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {A3E5BBD3-1921-4AE8-893E-C8746B29B40C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A42ED934-37BB-4159-ABCA-26434AEC1F09} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B66D9F4A-6342-48F1-901B-8E19207E7736} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {BA29314C-0F4E-4C74-BB54-80362A79CB17} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {C1F78653-B2D2-48AF-B1FC-02F345AFDC4F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E2CF15DC-4786-4AED-BA06-03A12C7D28A5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {E9DD4D8D-4382-4CDD-8E03-73BD24D153F6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F1961238-1D14-4D49-8A94-C795B68D3508} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\Desktop\Counter-Strike 1.6 CS:GO.lnk
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2872777653-3032698802-1077044679-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
HKU\S-1-5-21-2872777653-3032698802-1077044679-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q=
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-09-12 23:33 - 2015-09-12 23:33 - 00008840 _____ C:\WINDOWS\SysWOW64\VSProtectProxyOff.ini
2015-09-12 23:33 - 2015-09-12 23:33 - 00008840 _____ C:\WINDOWS\system32\VSProtectProxyOff.ini
2015-09-12 23:30 - 2015-09-13 01:26 - 00000000 ____D C:\Program Files (x86)\FastoPlayer
2015-09-12 23:30 - 2015-09-13 01:23 - 00000000 ____D C:\Program Files (x86)\Visual Protect Service
2015-09-12 23:30 - 2015-09-12 23:30 - 00001144 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastoPlayer.lnk
2015-09-12 23:30 - 2015-09-12 23:30 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\WindowsUpdater
2015-09-12 23:30 - 2015-09-12 23:30 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\Visual Protect Service
2015-09-12 16:37 - 2013-08-22 16:25 - 00000824 ___SH C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-12 16:36 - 2015-09-12 16:37 - 00000118 ____H C:\firefox.bat
2015-09-12 16:36 - 2015-09-12 16:37 - 00000099 ____H C:\launcher.bat
2015-09-12 16:36 - 2015-09-12 16:36 - 00000105 ____H C:\iexplore.bat
2015-09-12 16:36 - 2015-08-17 18:01 - 00931960 ____H (Opera Software) C:\lаunсhеr.bаt.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
    • Кустас
      Подозрение на вирус
      Автор Кустас
      Компьютер начал ОЧЕНЬ сильно тупить, даже проводник пр и входе в папку открывает её секунд 10.
      CollectionLog-2025.12.13-21.05.zip
    • 420427
      [РЕШЕНО] какой-то вирус залез Trojan.Win32.Agentb.adkr
      Автор 420427
      Здравствуйте, какой-то вирус залез в комп, помогите, пожалуйста, избавиться.
      CollectionLog-2025.12.12-15.19.zip
    • NoEndOutcry
      Тормозит компьютер, регулярные синие экраны и перезагрузка
      Автор NoEndOutcry
      Добрый день, у меня проблема с тормозами и постоянными перезагрузками на компьютере с виндовс 10, своими силами решить не удалось, автозапуск чистил, антивирусом проверял, посторонних процессов не вижу. 
       

      Процессор    AMD Ryzen 9 5900X 12-Core Processor               3.70 GHz
      Оперативная память    128 ГБ
       
      Проблема проявляется иногда раз в неделю в виде синего экрана, иногда 10 раз за день, как сегодня. Комп повисает и просто перестает на что-то реагировать. Регулярно начинают выть вентиляторы, хотя нагрузки никакой нет, а железо достаточно мощное что бы мелкие фоновые задачи решать не греясь. Подозреваю что закрался майнер или какой-то вирус. Установлен касперский премиум, но он проблем не видит. 
      В диспетчере задач тоже не вижу ничего подозрительного. Прогнал сканирование и логгер, результаты прикладываю. 
      Буду признателен совету как поступить для дальнейшей диагностики и по решению проблемы. 
       

      CollectionLog-2025.12.10-14.30.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
×
×
  • Создать...