Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Заразил компьютер программой для сброса памперса на принтере AdjProg.exe скачанной с сайта www.spsystems.lv.Скачана была давным давно и вроде как в прошлый раз проблем не принесла.При активации exe-файла было предложено обновить версию программы для моего принтера,при согласии открылась страница в Mozila Firefox с предложением "скачать".Был загружен файл весом примерно 35мб,При его активации и не внимательном привычном нажатии "далее-далее" на машине началась вакханалия.Было установлено большое количество мусорных программ вредоносного типа и в придачу трояны.Большинство были удалены с помощью uninstall tool,пара-тройка noname прог не обнаруживались в списках установленного,но продолжали работать в трее.

 

В виду отсутствия антивируса на машине был скачан на подмогу Kaspersky Virus Removal Tool.Он обнаружил порядка 12 проблем и ликвидировал все, кроме одной - "Trojan.Multi.GenAutorunTask.a" .

Его он пытался вылечить раза 3 с перезагрузкой,но безуспешно.Прошу помощи в вопросе ликвидации данного субъекта с моего компьютера.

 


логи

CollectionLog-2017.08.25-14.53.zip

Изменено пользователем Jintonik
Опубликовано

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

Опубликовано

нет,и стандартные средства удаления Windows не видят FreeCodecPack.В процессах тоже не видно.Как его удалить?

К слову перед  созданием логов предыдущего сообщения был запущен редактор реестра RegistryLife,он нашел и исправил пару десятков ошибок.После этого снова врубил Kaspersky Virus Removal Tool и угроз не обнаружено.

Стоит ли ковыряться дальше или "Trojan.Multi.GenAutorunTask.a" изгнан?

Опубликовано

 

 


нет,и стандартные средства удаления Windows не видят FreeCodecPack.В процессах тоже не видно.Как его удалить?
Возможно установился с установкой этой программы
F:\РАБОТА\ПРОГРАММЫ\FREEVIDEOTODVDCONVERTER ВЕЩЬ!!!.EXE

Этот файл тоже советую удалить.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    deltmp
    dirzooex %SystemDrive%\PROGRAM FILES (X86)\FREECODECPACK\HAALI
    zoo %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\TEMP\SPA80B.TMP\SYMINSTALLSTUB.EXE
    delall %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\TEMP\SPA80B.TMP\SYMINSTALLSTUB.EXE
    delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    delref %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\FREECODECPACK\HAALI
    czoo
    restart
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}
    delref K:\CROSSLINKPLUS.EXE
    delref J:\CROSSLINKPLUS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\COMMON\ELEMENTS64.EXE
    delref %SystemDrive%\PROGRAMDATA\REALNETWORKS\REALDOWNLOADER\BROWSERPLUGINS\FIREFOX\EXT
    delref %SystemDrive%\PROGRAM FILES (X86)\EYE-FI\EYEFIRECEIVER.EXE
    delref %Sys32%\SPOOL\DRIVERS\X64\3\E_YATIKKE.EXE
    delref %Sys32%\DRIVERS\FA2F7067.SYS
    delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\17.0.4024.1220\FILESYNCAPI.DLL
    delref G:\02 ПРОГИ ДЛЯ ПЛОТЕРА\USB DRIVER\FTDIUNIN.EXE
    delref J:\LAUNCHU3.EXE
    delref J:\INSTALL MEGAFON INTERNET.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\DNG CODEC\UNINS000.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\PSD CODEC\UNINS000.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\NEF CODEC\UNINS000.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\CR2 CODEC\UNINS000.EXE
    delref %SystemDrive%\USERS\SUPER_FOTO\DESKTOP\PX650_PRTDRV_X64_6.62_HOME_EXPORT.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\NEF CODEC\NEFCODECPREFERENCES.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\CR2 CODEC\CR2CODECPREFERENCES.EXE
    delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\DNG CODEC\DNGCODECPREFERENCES.EXE
    delref D:\ПРОГРАММЫ\LIST(POINTER)\НОВЫЙ ПЛАГИН ДЛЯ COREL DRAW\COLSETUP.EXE
    delref J:\STARTME.EXE
    delref E:\SETUP.EXE
    apply
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Albert2025
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Kosch
      Автор Kosch
      Здравствуйте!
       
      Прилетели два трояна
      Trojan.Win32.SEPEH.gen
      Trojan.Multi.Agent.gen
       
      вылечить не получается
      загружался с Kaspersky Virus Removal Tool - не находит :(
       
      Помогите пожалуйста!
       
      KIS.txt
    • predreamer
      Автор predreamer
      Зависли вирусы на ноуте, иногда по нескольку раз открывается cmd, после чего яндекс браузер закрывается и в истории простыня всяких брендовых сайтов, на которых не был, и ещё это расширение T-cashback вечно возвращается. Dr. Web находит chromium:page.malware.url, трояны стартеры и прочее, лечит, и они сразу же возвращаются.
      CollectionLog-2025.02.10-11.27.zip
    • Taaeq
      Автор Taaeq
      KVRT нашел вирус в системной памяти, не лечит
      Пробовал с других тем выполнять скрипты через avz и uvs но ничего не помогло
      CollectionLog-2025.01.26-19.09.zip
    • FredyFox
      Автор FredyFox
      Вирус не лечится. Все что пишется о нем - название и что сидит в System Memory. Все, что мог бы использовать для его удаления, закрывается моментально при попытке использовать. Могу пытаться что-то с этим сделать только в безопасном режиме
×
×
  • Создать...