Перейти к содержанию
Правила раздела

Прошу проверить

Максим14

Автор Максим14
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите все найденное в AdwCleaner
( при желании можете оставить элементы Mail.ru)
новый лог после перезарузки приложите


http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM\...\Providers\hc4ffzf3: C:\Program Files (x86)\Intel\\local64spl.dll
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
ShellExecuteHooks:  - {089E3F3E-AA6B-11E6-B822-64006A5CFC23} - C:\Users\nordec\AppData\Roaming\Vheward\Zibegh.dll No File [ ]
R2 Plzilyboqotion; C:\Program Files (x86)\Shubocult\kivockCnt.dll [278528 2016-12-11] () [File not signed]
2016-12-14 21:39 - 2016-12-16 21:50 - 00000000 ____D C:\Program Files (x86)\Kdaghgujuent
2016-12-14 21:38 - 2016-12-16 21:50 - 00000000 ____D C:\Program Files (x86)\k30plcxa
2016-12-11 14:59 - 2016-12-11 14:59 - 00000258 __RSH C:\Users\nordec\ntuser.pol
2016-12-11 14:51 - 2016-12-11 22:26 - 00000000 __SHD C:\Users\nordec\AppData\Local\svchost
2016-12-11 14:50 - 2016-12-23 17:25 - 00000000 ____D C:\Users\nordec\AppData\Roaming\Vheward
2016-12-11 14:50 - 2016-12-11 14:57 - 00000000 ____D C:\Program Files (x86)\Shubocult
2016-12-11 14:50 - 2016-12-11 14:50 - 00006052 _____ C:\WINDOWS\System32\Tasks\Anusught Controls
2016-12-11 14:50 - 2016-12-11 14:50 - 00003540 _____ C:\WINDOWS\System32\Tasks\420fa13ab10e9db2b0659c6c31ef59e1
2016-12-11 14:50 - 2016-12-11 14:50 - 00000000 ____D C:\Users\nordec\AppData\Local\Qunoleuqish
2016-12-11 14:50 - 2016-12-11 14:50 - 00000000 ____D C:\Users\nordec\AppData\Local\Lahusy
2016-12-11 14:23 - 2016-12-11 21:34 - 00000000 ____D C:\Users\nordec\AppData\Local\FilterStart
2016-12-11 14:23 - 2016-12-11 14:51 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2016-12-11 14:23 - 2016-12-11 14:51 - 00000258 __RSH C:\ProgramData\ntuser.pol
2016-12-11 14:23 - 2016-12-11 14:23 - 00003196 _____ C:\WINDOWS\System32\Tasks\Additional Translator Helper
2016-12-11 14:23 - 2016-12-11 14:23 - 00003180 _____ C:\WINDOWS\System32\Tasks\Custom Current Mgr
Task: {332FA1E5-33CC-465E-B3DF-EBDE1A66D497} - System32\Tasks\Custom Current Mgr => C:\Program Files (x86)\ScreenUp\future_helper.exe
Task: {677FAE13-E738-4E77-B0A0-184B1EA189C7} - System32\Tasks\Anusught Controls => C:\Program Files (x86)\Kdaghgujuent\cloerdom.exe
Task: {924452EE-DBF9-4B31-969C-0BFB0BA4CE03} - \PC Trusted Mgr -> No File <==== ATTENTION
Task: {BAA178C0-FA99-416E-A43E-5FC735D85FFE} - System32\Tasks\Additional Translator Helper => C:\Users\nordec\AppData\Local\FilterStart\FilterStart.exe
Task: {E0FE0AF1-9073-47E5-B4D2-00BF0C026B9C} - System32\Tasks\420fa13ab10e9db2b0659c6c31ef59e1 => Rundll32.exe "C:\Program Files (x86)\WildTangent Games\c4ffzf.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
Ссылка на комментарий
Поделиться на другие сайты
Максим14

Максим14

Опубликовано
  • Автор
Опубликовано

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей темъ
  •  

Выполнено.

Активности не вижу, Касперский сегодня ни на что плохое не реагировал.

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...