Перейти к содержанию
Правила раздела

Подозрение на недоудалённый вирус

Паолина

Автор Паолина
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Паолина

Паолина

Опубликовано
Опубликовано (изменено)

Добрый день,

 

Вчера вечером KIS нашёл и удалил какой-то троян. После начались проблемы: из зависающего Google Hangouts вылезала какая-то древняя программа сканирования, а сегодня KIS ругается на каждое открытие браузера (что Chrome, что Firefox), что нарушена цепочка сертификатов. Вообщем, очевидно что-то не в порядке, но полное сканирование ничего не дало. Что можно сделать?

CollectionLog-2016.04.30-17.18.zip

Изменено пользователем Паолина
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack 

O17 - HKLM\System\CCS\Services\Tcpip\..\{a30a2d3b-1724-454b-85d9-5953993bc966}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{d71864d3-6bc0-420a-add8-24362a40208e}: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.171 82.163.142.173
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Паолина

Паолина

Опубликовано
  • Автор
Опубликовано

Приложены. Кстати, то, что я назвала древней программой сканирования, называется Reimage: её страница сейчас снова вылезла вместо ссылки на скачивание Farbar

CollectionLog-2016.04.30-18.01.zip

Farbar.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{a30a2d3b-1724-454b-85d9-5953993bc966}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{a30a2d3b-1724-454b-85d9-5953993bc966}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: [NameServer] 82.163.143.171 82.163.142.173
Tcpip\..\Interfaces\{c96f4502-224a-4dfc-9c51-a08a13d5a04b}: [DhcpNameServer] 82.163.143.171
Tcpip\..\Interfaces\{d71864d3-6bc0-420a-add8-24362a40208e}: [NameServer] 82.163.143.171 82.163.142.173
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\804036\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\804036\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2014-05-29]
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3431728648-1538304288-2440469696-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
2016-04-29 21:15 - 2016-04-29 21:19 - 00000000 ____D C:\Users\Все пользователи\2939cee5
2016-04-29 21:15 - 2016-04-29 21:19 - 00000000 ____D C:\ProgramData\2939cee5
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{0e6368da-012c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{0aca5ce3-112c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{05ba26f9-312c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\Users\Все пользователи\{00cbada4-412c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{0e6368da-012c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{0aca5ce3-112c-0}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{05ba26f9-312c-1}
2016-04-29 21:15 - 2016-04-29 21:15 - 00000000 ____D C:\ProgramData\{00cbada4-412c-0}
2016-04-08 20:29 - 2016-04-29 21:18 - 00000000 ____D C:\Users\Все пользователи\d9e33689-4815-0
2016-04-08 20:29 - 2016-04-29 21:18 - 00000000 ____D C:\ProgramData\d9e33689-4815-0
2016-04-08 20:29 - 2016-04-29 21:17 - 00000000 ____D C:\Users\Все пользователи\d9e33689-7907-1
2016-04-08 20:29 - 2016-04-29 21:17 - 00000000 ____D C:\ProgramData\d9e33689-7907-1
C:\Users\804036\AppData\Local\Temp\A73B.exe
Task: {14A8447F-2255-449E-87AD-CE678AB7893E} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {563EB866-09AF-4A01-BEED-F5725EB207C4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {61A6EC89-1D92-4DA1-B8E0-01D071A86727} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {827DBCDD-3BAD-48E6-894D-EBA6A6CE5B36} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {87E9E3E8-D1CF-4E22-B246-807D13A2DC1D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {9A36D5A7-A99C-4662-A785-D0A28AE165D5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {9AC53301-C316-404B-9402-12EEE5C1F297} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A5EC13EF-3257-490F-A62B-286A811C80C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {DB7DB33A-E7E2-49BA-B5E0-012B22838274} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {F1A6A0D3-9633-426A-A90F-99FA3A97C1D4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {F25F6494-D08B-4C3B-94F2-3F9F9A407671} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • aminjik
      Подозрение на вирусы после проверки
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...