Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус нарушил стандартные настройки

Vladimir057

Автор Vladimir057
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Vladimir057

Vladimir057

Опубликовано
Опубликовано (изменено)

Доброго времени суток!

Похозяйничал вирус, очевидно поработал с автозагрузкой. Ноутбук Асус. Из трея в панели задач пропали разные значки от программ, к примеру, Intel GMA Driver, Диспетчер Realtek HD, был еще значок от тачпада. Не работает клавиша Fn, точнее работает не везде, яркость +/- да, звук +/- нет, asus hybrid engne тоже не переключает. При этом при настройке яркости на экране не появляется окошко, просто визуально. Еще вверху нет асусовской панели, хоть она и не нужна в общем.

Вот как-то так... Дело было еще в сентябре, никак не доходили руки написать, от вируса то я тогда избавился, а последствия устранить мне не под силу. Надеюсь на помощь.

CollectionLog-2016.12.24-17.30.zip

Изменено пользователем Vladimir057
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\1\AppData\Local\MailruSetup\MailruSetup.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\1\ReportSender\ReportSender.exe','32');
 DeleteFile('C:\windows\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','32');
 DeleteFile('C:\windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','32');
 DeleteFile('C:\windows\system32\Tasks\Microsoft\Windows\Multimedia\MailruSetup','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3062598263-1273114784-3657867685-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-12-25 01:02 - 2016-12-25 01:02 - 00000000 ____D C:\Users\Все пользователи\s2bo
2016-12-25 01:02 - 2016-12-25 01:02 - 00000000 ____D C:\ProgramData\s2bo
2016-12-25 00:52 - 2016-12-25 00:52 - 00000000 ____D C:\Users\Все пользователи\s5eo
2016-12-25 00:52 - 2016-12-25 00:52 - 00000000 ____D C:\Users\Все пользователи\s2vs
2016-12-25 00:52 - 2016-12-25 00:52 - 00000000 ____D C:\ProgramData\s5eo
2016-12-25 00:52 - 2016-12-25 00:52 - 00000000 ____D C:\ProgramData\s2vs
2016-12-25 00:46 - 2016-12-25 00:46 - 00000000 ____D C:\Users\Все пользователи\s43g
2016-12-25 00:46 - 2016-12-25 00:46 - 00000000 ____D C:\Users\Все пользователи\s3c4
2016-12-25 00:46 - 2016-12-25 00:46 - 00000000 ____D C:\ProgramData\s43g
2016-12-25 00:46 - 2016-12-25 00:46 - 00000000 ____D C:\ProgramData\s3c4
2016-12-24 17:48 - 2016-12-24 17:48 - 00000000 ____D C:\Users\Все пользователи\s53k
2016-12-24 17:48 - 2016-12-24 17:48 - 00000000 ____D C:\Users\Все пользователи\s510
2016-12-24 17:48 - 2016-12-24 17:48 - 00000000 ____D C:\ProgramData\s53k
2016-12-24 17:48 - 2016-12-24 17:48 - 00000000 ____D C:\ProgramData\s510
2016-12-24 17:46 - 2016-12-24 17:46 - 00000000 ____D C:\Users\Все пользователи\s4e8
2016-12-24 17:46 - 2016-12-24 17:46 - 00000000 ____D C:\Users\Все пользователи\s484
2016-12-24 17:46 - 2016-12-24 17:46 - 00000000 ____D C:\ProgramData\s4e8
2016-12-24 17:46 - 2016-12-24 17:46 - 00000000 ____D C:\ProgramData\s484
2016-10-01 00:19 - 2016-10-01 00:19 - 00000000 ____D C:\Users\Все пользователи\s4so
2016-10-01 00:19 - 2016-10-01 00:19 - 00000000 ____D C:\Users\Все пользователи\s1p0
2016-10-01 00:19 - 2016-10-01 00:19 - 00000000 ____D C:\ProgramData\s4so
2016-10-01 00:19 - 2016-10-01 00:19 - 00000000 ____D C:\ProgramData\s1p0
2016-09-30 23:19 - 2016-09-30 23:19 - 00000000 ____D C:\Users\Все пользователи\s4ak
2016-09-30 23:19 - 2016-09-30 23:19 - 00000000 ____D C:\ProgramData\s4ak
2016-09-30 23:18 - 2016-09-30 23:18 - 00000000 ____D C:\Program Files\Common Files\AV
2016-09-30 23:09 - 2016-09-30 23:09 - 00000000 ____D C:\Users\Все пользователи\s5ik
2016-09-30 23:09 - 2016-09-30 23:09 - 00000000 ____D C:\Users\Все пользователи\s320
2016-09-30 23:09 - 2016-09-30 23:09 - 00000000 ____D C:\ProgramData\s5ik
2016-09-30 23:09 - 2016-09-30 23:09 - 00000000 ____D C:\ProgramData\s320
2016-09-30 23:01 - 2016-09-30 23:01 - 00000000 ____D C:\Users\Все пользователи\s5v4
2016-09-30 23:01 - 2016-09-30 23:01 - 00000000 ____D C:\Users\Все пользователи\s4qc
2016-09-30 23:01 - 2016-09-30 23:01 - 00000000 ____D C:\ProgramData\s5v4
2016-09-30 23:01 - 2016-09-30 23:01 - 00000000 ____D C:\ProgramData\s4qc
2011-04-15 04:23 - 2010-03-02 14:59 - 0131984 _____ () C:\ProgramData\FullRemove.exe
Task: {0F4BD427-2375-4B37-A801-D355F0C3894A} - \Microsoft\Windows\Multimedia\MailruSetup -> No File <==== ATTENTION
Task: {40530BE6-FBB1-4455-B01D-A6F115C3B28A} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Vladimir057

Vladimir057

Опубликовано
  • Автор
Опубликовано

Но ничего не восстановилось..((


Может нужно поработать с автозагрузкой или службы какие запустить? Следы то мы убрали, но нанесенный вред так и остался..

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Дальше в разделе Компьютерная помощь создайте новую тему и кратко опишите там проблему. Ваша проблема с вирусами не связана.

Ссылка на комментарий
Поделиться на другие сайты
Vladimir057

Vladimir057

Опубликовано
  • Автор
Опубликовано (изменено)

Проблема вызвана действиями вируса, это точно! Ну да ладно, пойду пытать счастья в другой раздел)

Изменено пользователем Vladimir057
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • infobez_bez
      Настройка политики карантина/сохранение связи с сервером администрирования
      Автор infobez_bez
      Здравствуйте!

      Я настраиваю политику карантина для устройств под управлением Windows в KSC. При переносе устройства в эту политику у него должна блокироваться вся сетевая активность, кроме связи с сервером администрирования.

      Проблема:
      -В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.
      -Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.
      -Также пытался вручную прописать правила в сетевом экране для портов агента (например, 13000, 14000 TCP/UDP), но это не сработало — устройство теряло связь с сервером.

      Вопрос:
      Как правильно настроить политику карантина для Windows, чтобы:
      -Устройство имело доступ только к серверу администрирования KSC.
      -Все остальные сетевые соединения (включая локальные службы) блокировались.
      -Устройство могло получать обновления политик (например, при выходе из карантина).
      -Нужна ли дополнительная настройка сетевого экрана или есть скрытые параметры, аналогичные функционалу для Linux?

      KSC 14.2
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...