Перейти к содержанию
Правила раздела

Вирус возвращается после ребута, подозрение на Backdoor.Win32.Mirai

Blackmeser

Автор Blackmeser,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

regist

regist 617

Опубликовано
Опубликовано (изменено)

+

@Blackmeser, с подключённым интернетом сделайте свежий AdwCleaner-а.

Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Blackmeser

    17

  • SQ

    8

  • regist

    6

  • thyrex

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

regist

@Blackmeser,   + 1) не нашёл в вашей теме логи Автологера, если не сложно сделайте и прикрепите новый лог.   2)  Выполните скрипт в uVS   ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1

SQ

AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AV

SQ

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Posted Images

SQ

SQ 831

Опубликовано
Опубликовано

Уточните если у Вас браузеры синхронизированы?

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Выполните скрипт в uVS:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\DRIVE\USER_DEFAULT\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF_LIVE.CRX
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
dirzoo %SystemDrive%\PROGRAMDATA\GOGDLJLOHHPICJGBJIABEKIHHAOBOHEN
delref %SystemDrive%\PROGRAMDATA\GOGDLJLOHHPICJGBJIABEKIHHAOBOHEN
dirzoo %SystemDrive%\PROGRAMDATA\BROWWSE2SIAVEE
deldir %SystemDrive%\PROGRAMDATA\BROWWSE2SIAVEE
restart
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано

 

Уточните если у Вас браузеры синхронизированы?

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Между собой - нет, не синхронизированы.

С какими-то облачными сервисами, хранящими настройки/вкладки/итд... - только Chrome с гуглом.

 

В ADW больше удалять нечего, там папки и ключи реестра Mail.RU Game Center, хранящие настройки.

HKLM\SOFTWARE\Classes\Interface\{63C40CBE-DE43-4B56-BCEB-E14B825CF245} - запись пустая, от 2014 года. Могу экспортировать.

Firefox - это кажется настройка, но точно не уверен, одно знаю точно - это строки восстанавливаются каждый раз при запуске браузера, хоть заудаляйся. Могу целиком отправить файл.

 

Результат работы скрипта (пароль virus): ZOO_2017-06-03_06-55-25.7z

Лог UVS: 2017-06-03_06-55-25_log.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

@Blackmeser,

 

+

1) не нашёл в вашей теме логи Автологера, если не сложно сделайте и прикрепите новый лог.

 

2)  Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADAUDIODEVICEMANAGER.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADSETTINGSIPC.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\AMD64\RZMAELSTROMVADSETTINGSIPC.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADSETTINGSSTREAMROT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVASWEB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBHF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBRAS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBVML.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ICONICS\SCHEDULEWORXCONFIGURATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SOLUTILS.DLL
delref %SystemDrive%\TEMP\SKY4280.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\XPPROGRESSBAR.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DATAGATH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DGRMLNCH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DWGDP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\MODELENG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\MPXINT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\OISCTRL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\OUTLFLTR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\PROJMODL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\PROPRPT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\REFEDIT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\UMLVB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\UMLVC60.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VAOSOLX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VIEWMODL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISGRF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISPRX32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISXDATA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\EXCEL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APM WINMACHINE 2009 (V.9.7)\APMGRAPH.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APM WINMACHINE 2009 (V.9.7)\APMREVITTOSTRUCTURE.DLL
delref J:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPLITCAM\DSFILTERS\DECODING\AVISPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSGRAPHICS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSMOBILEDEVICE2ACTIVESYNC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSVIDEOCONVERTERHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ICONICS\GENESIS32\BIN\AWXREP32.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BUSINESS OBJECTS\3.0\CRYSTALREPORTVIEWERS11\ACTIVEXCONTROLS\CRVIEWER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OMRON\CX-SERVER\CXDBMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\OMRON\DRIVERS\CXSDI_DEVICECONFIGSENSOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OMRON\CX-SERVER\CXSDI_PTUSBPORT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BATTLELOG WEB PLUGINS\2.1.7\ESNLAUNCHAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\WIRE\APP-2.12.2729\RESOURCES\APP.ASAR\JS\PRELOAD.JS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\OMRON\COMPONENTS\SERVERIFSERVICE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %Sys32%\DRIVERS\SIVX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\CLARUS\SAMSUNG DRIVE MANAGER\SZDBCORE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\BIN\VIDEOCONVERTERAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\VIDEO_CAMERA_ACTIVEX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VISIO SHARED\VISFILT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SPLITCAM\DSFILTERS\DECODING\VP7DEC.AX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\WAVPLAYERRECORDERAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\VBGUI.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\BIN\VBVIDEOPLAYERAX.DLL
delref %Sys32%\DRIVERS\VDMZNJMY.SYS
delref %Sys32%\DRIVERS\VD_FILEDISK.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ICONICS\GENESIS32\BIN\TWXSQLUPSIZE.EXE
delref %Sys32%\DRIVERS\ENTECH.SYS
apply

regt 28
regt 29
restart

3) Сделайте свежий образ автозапуска.

  • Спасибо (+1) 2
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано
Насчёт Firefox, ADW реагирует на следующие строки:

user_pref("extensions.quick_start.enable_search1", false);

user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);

- это настройка связи с расширением Tab Mix Plus 0.5.0.2 (привязка событий), которое делает более удобное управление вкладками.

 

Остальные настройки Firefox подтёр, капитальное снёс все JS-скрипты внутри конфига, не связанные с плагинами и расширениями, больше ничего не появляется при перезапуске браузера.

 

 

MBAM реагирует на компоненты GameCenterMailRu

 

PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} - это ошмётки какой-то программы, есть только в реесте, файлов нет с 2015 года.

 

PUP.Optional.DriverPack, C:\USERS\BLACKMESER\DOWNLOADS\DRIVERPACK-17-ONLINE_757650541.1471754830.EXE

PUP.Optional.InstallPack, C:\USERS\BLACKMESER\DOWNLOADS\INSTALLPACK_N_508A8.ZIP

- эти паки я делал сам год назад на случай если винда слетит и тестировал в виртуальной машине, с ними всё норм.

 

 

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL

- внутри текст, содержимое: 

PReg[software\Policies\Microsoft\Windows\Group Policy Objects\Local Group Policy;**Comment:GPO Name: Local Group Policy;;;][software\Microsoft\Windows\CurrentVersion\Policies\Explorer;;;;]

 

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL

- внутри текст, содержимое: 

PReg[software\Policies\Microsoft\Windows\Group Policy Objects\Local Group Policy;**Comment:GPO Name: Local Group Policy;;;]

 

PUP.Optional.MultiPlug, C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL

- нет файла и даже папки \MACHINE

 

Остальное PUP.Optional.*, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\*

 - не знаю, но кажется это только кэш и куки.

 

MBAM Log: MBAM.txt

 


 


Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано

Мне всё, теперь снимать защиту (удалять антивирусы) и смотреть не вылезет ли снова какая-нибудь гадость из своего тайного угла?

PS У меня есть свободное место на одном их харде, и я могу бэкапнуть весь диск С, стоит ли, или ничего не должно вылезти?

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

1) Диск H:\ это у вас что?

 

2) Поместите в карантин MBAM только

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.MultiPlug, C:\USERS\BLACKMESER\NTUSER.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.MultiPlug, C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.HDApp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_hdapp1008-a.akamaihd.net_0.localstorage, Проигнорировано пользователем, [15590], [256894],1.0.2079
PUP.Optional.HDApp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_hdapp1008-a.akamaihd.net_0.localstorage-journal, Проигнорировано пользователем, [15590], [256894],1.0.2079
PUP.Optional.MailRu, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\HTTPS_AD.MAIL.RU_0.LOCALSTORAGE, Проигнорировано пользователем, [1003], [398943],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_pstatic.eshopcomp.com_0.localstorage, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_pstatic.eshopcomp.com_0.localstorage-journal, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_pstatic.eshopcomp.com_0.localstorage, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_pstatic.eshopcomp.com_0.localstorage-journal, Проигнорировано пользователем, [15569], [255829],1.0.2079

3) MBAM деинсталируйте.

 

4) Проверяйте проблему. Бэкап всего диска делать не обязательно (хотя бэкап всегда полезен), вирус удалён.

Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано
Диск H:\ - это старый SATA-2 хард на 320ГБ с периодически появляющимися бэдами, там у меня Steam, виртуальные машины и медиасвалка.

В карантин отправил, MBAM удалил.

Вечером сегодня или завтра попробую забэкапить диск С акронисом, удалю нод32, подожду денёк и отпишу сюда результат.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено) 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Одиночная Игра Star Trek Voyager Elite Force.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Голоматч Star Trek Voyager Elite Force.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Readme (TEXT).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Readme (HTML).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Elite Force Expansion Pack Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Register (Available in North America only).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Activision Website.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Activision.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Activision Support.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Activision Support.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Raven Software.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Raven.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\EarthLink.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\EarthLink.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\PlanetEliteForce.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Planeteliteforce.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Gaming.StarTrek.com.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\gaming.startrek.com.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\ScreenThemes.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\ScreenThemes.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\StarTrek.com.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\StarTrek.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Wildstorm Comics.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Wildstorm.url
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{D7109EE4-B219-434A-9D2C-8837FBD3499B}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2008\Средства настройки\Центр установки SQL Server (64-разрядная версия).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Lasso\Документация\Документация.lnk
C:\Users\Blackmeser\Links\GodMode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk
C:\Program Files (x86)\StreamTransport\Help.url
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{8104F1AF-C43E-41A3-9AF8-1C9CD054A7A8}\PlayTasks\0\Играть.lnk
C:\Users\LogMeInRemoteUser\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{E64D1829-284F-449E-B6D3-7B7DC6B373F1}\PlayTasks\0\Играть.lnk
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{042A8FE4-17DC-426C-8D65-CA59A03B3FD5}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{23047CE2-A210-4E14-97B8-0F698C9BCAF3}\PlayTasks\0\Play.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{23047CE2-A210-4E14-97B8-0F698C9BCAF3}\PlayTasks\1\readme.txt.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на английском).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на русском).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 5.5.0f3 (64-bit)\Unity Documentation.lnk
C:\Users\Blackmeser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Friendly Chat.lnk

Эти ярлыки ссылаются на не существующие файлы. Если захотите их по быстрому удалить, то просто исправьте их с помощью утилиты ClearLNK. При этом если файл перемещён, а не удалён, то попробует найти куда и исправить ярлык.

Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано

Третий день без NOD32, ~6 ребутов, полёт нормальный, винда как и изначально грузится без задержек с чёрными экранами, лишних процессов не наблюдается, странного поведения системы нет.

Проблему можно считать окончательно решённой.

Большое спасибо за помощь.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты
Blackmeser

Blackmeser 0

Опубликовано
  • Автор
Опубликовано

 

Поиск критических уязвимостей

Накопительное обновление безопасности для браузера Internet Explorer
 
UAC (контроль учётных записей) отключён.
 
Opera 1.0 устарела. Удалите её или установите новую
 
Обнаружено уязвимостей: 3

IE у меня отключен в системе, браузера нет.

UAC как по мне так дырка, только мешает. И отнимает очень много времени, когда вручную что-то делаешь с системой.

У меня нет Оперы 1.0, только Opera Beta 46 и Opera 12.18 (для специфических задач).

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
×
×
  • Создать...