Перейти к содержанию
Правила раздела

Заражение предустановленного Windows

Banni-list

От Banni-list
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Banni-list Новичок

Banni-list

Опубликовано
Опубликовано

Доброго дня.

Дочка привела подругу, у которой была проблема входа в интернет (не пускало вообще), а так как уменя уже была подобная оказия я согласился помочь. 

Согласно ответу компании Майкрософт  выполнил сброс параметров сетевого адаптера, маршрутов, очистке DNS и Winsock. проблема пропала, НО меня изначально  насторожило то что часть меню (когда кликаешь правой кнопкой мыши) и "всплывающие сообщения"  на "аброкатабре", проверил утилитой AVZ ,  в п. 1.1 выдало: 

Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC297A->775BCC01
Перехватчик kernel32.dll:ReadConsoleInputExA (1094) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75AC29AD->775BCC25
Перехватчик kernel32.dll:ReadConsoleInputExW (1095) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован
Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован
Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован
Функция ntdll.dll:ZwCreateFile (1647) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD280->6D4AB775
Перехватчик ntdll.dll:ZwCreateFile (1647) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (1926) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CCFA0->6D4AB6F1
Перехватчик ntdll.dll:ZwSetInformationFile (1926) нейтрализован
Функция ntdll.dll:ZwSetValueKey (1957) перехвачена, метод ProcAddressHijack.GetProcAddress ->779CD330->6D4AC69D
Перехватчик ntdll.dll:ZwSetValueKey (1957) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553779D->6D4AB6DB
Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован
Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->7554534B->6D4AC801
Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован
 Переустановил предустановленную Windows 8.1 (полная переустановка) но проблема не пропала.
Проверял ноутбук следующими утилитами/программами: AVZ, Kaspersky Virus Removal Tool,  Dr.Web CureIt!, Avast Internet Security, Malwarebytes Anti-Malware, hitmanpro_x64, VIPRERescue...  результат  "нулевой" (((

CollectionLog-2016.07.07-23.36.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

1. Деинсталлируйте:

Host App Service
TuneUp Utilities 2014

2. Удалите осколки от McAfee  =>  http://support.kaspersky.ru/7157?_ga=1.43195232.4379107.1470563720

 

 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты
Banni-list Новичок

Banni-list

Опубликовано
  • Автор
Опубликовано

Деинсталлируйте:

Host App Service
TuneUp Utilities 2014.AVZ проверял ДО установки тун апа, но на всякий пожарный удалил.

"осколки" макафе вроде бы удалил.

Отчёт прилагаю.

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  No File

CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx

S4 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X]

Task: {78F5713C-D284-4DD8-B155-4DAD9AC0BFEA} - System32\Tasks\FUB => C:\Program Files (x86)\Acer\Care Center\FUB.bat <==== ATTENTION

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAfee SiteAdvisor Service]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAPExe]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McAWFwk]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McNaiAnn]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McODS]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McOobeSv2]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\mcpltsvc]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\McProxy]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\MSK80Service]

EmptyTemp:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Kirik_
      Windows 11
      От Kirik_
      Первые скриншоты Windows 11 — изменения коснулись «Пуска», панели задач, интерфейса и многого другого
      В Сети оказались опубликованы скриншоты, сделанные в грядущей операционной системе Windows 11 от компании Microsoft. На опубликованных изображениях демонстрируется новый пользовательский интерфейс, свежее меню «Пуск» и многое другое. Поскольку это очень ранняя сборка, некоторые элементы новой ОС остались такими же, как у текущей версии Windows 10.
       
      Новый пользовательский интерфейс и меню «Пуск» в Windows 11 очень похожи на те, что изначально были в Windows 10X. Microsoft пыталась упростить интерфейс Windows для использования на устройствах с двумя экранами, но в конечном счёте отказалась от дальнейшей разработки Windows 10X. Позже компания пообещала использовать те наработки в основной версии ОС, и как видно, сдержала обещание — многие элементы легли в основу новой Windows 11.
       
      Наиболее заметное визуальное отличие новой ОС связано с панелью задач. Microsoft решила сместить иконки приложений с левого нижнего края экрана в центр. Здесь же находится и новая кнопка меню «Пуск». Последняя представляет собой упрощённую версию того меню, что сегодня присутствует в Windows 10.
       
      В новой версии операционной системы используются закруглённые углы окон. Контекстуальные меню, иконки, а также окно проводника — теперь всё имеет закруглённые углы, включая иконки и окна меню «Пуск».
       
      На панели задач Windows 11 можно увидеть новую иконку Widgets (виджеты). Слухи о том, что компания вернёт их в новую ОС, ходят уже давно. Правда, сами виджеты из-за «сырости» версии сборки пока недогружаются. С помощью виджетов можно будет быстро узнать погоду, свежие новости и другую полезную информацию из Сети.
       
      В ранней сборке Windows 11 компания пока не вносила изменения в интерфейс магазина приложений Windows Store. Прежде сообщалось, что Microsoft собирается серьёзно переработать магазин приложений и сделать его более дружелюбным не только для пользователей, но и для разработчиков приложений. Для них упростят размещение контента на платформе, а также позволят использовать в приложениях сторонние платёжные сервисы.
       
      Визуально изменится и процесс установки Windows 11. Однако пользователя как и раньше будут сопровождать по каждому шагу установки и настройки новой ОС. При каждой загрузке Windows 11 пользователя будет встречать новый звук запуска системы.
       
      Microsoft подробно расскажет о «следующем поколении Windows» на специальном мероприятии, которое состоится в конце этого месяца. Софтверный гигант начал рассылку приглашений на мероприятие, которое будет полностью посвящено программной платформе Windows и начнётся в 18:00 (мск) 24 июня.
       
      Источник
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Kedri
      [РЕШЕНО] Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen
      От Kedri
      Добрый день.
       
      Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).
      CollectionLog-2025.01.21-12.48.zip
    • LorianThet
      Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      От rottingcorpse
      fff.zip
×
×
  • Создать...