Перейти к содержанию

Очистка ноута от вирусов


lolich25

Рекомендуемые сообщения

Привет. Проверил ноут утилитой касперского, adwcleaner. много чего удалилось. утилита каспер. находит троян в системной памяти, а удалить не может. логи ниже.

CollectionLog-2018.01.15-15.44.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '');
 QuarantineFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '');
 QuarantineFile('C:\ProgramData\AppriabuS\Bigtex.dll', '');
 QuarantineFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0224A2FE-B58F-1555-75A5-3A035CBEF1E9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{82AA7228-3501-C583-E4BA-EBAD25F5FB31}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '32');
 DeleteFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '32');
 DeleteFile('C:\ProgramData\AppriabuS\Bigtex.dll', '32');
 DeleteFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5ia9a8GGkjgX.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wtrwll', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Номер Вы указали, а ответ не сообщили.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

adwcleaner. много чего удалилось

Если сохранились отчеты, покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

В антивирусных базах информация по присланным вами файлам отсутствует:
74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe
5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe
Bigtex.dll
wtrwll.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
SaltOvefresh.dll - UDS:DangerousObject.Multi.Generic
5ia9a8GGkjgX.exe - UDS:DangerousObject.Multi.Generic

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
    SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
    BHO-x32: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File
    Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-12-29]
    FF Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-29]
    FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-29]
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB569E438-20EB-4469-B609-D023C6449A7A%7D&gp=811022
    CHR DefaultSearchKeyword: Default -> mail.ru_
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
    2018-01-06 09:51 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\AppriabuS
    2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\f84a3c7a94524f5ba6add63eb8bd0cf7
    2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\47721650c4d24546b607cc929faaa42d
    2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\f84a3c7a94524f5ba6add63eb8bd0cf7
    2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\47721650c4d24546b607cc929faaa42d
    2018-01-06 09:41 - 2018-01-06 09:45 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\7ab5e4cdd0ee43eb8750699baf6e98fc
    2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Все пользователи\5b549542c2eb4e4e9d17d9183822bad6
    2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\ProgramData\5b549542c2eb4e4e9d17d9183822bad6
    2018-01-06 09:30 - 2018-01-06 09:30 - 000000000 ____D C:\Users\Игорь\AppData\Local\2fd69704f8a24364b367bf01241a2d52
    2018-01-06 09:29 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\941b59890c2e48f0b3bd8a5e38794f70
    2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
    2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
    2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
    2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
    2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\Users\Все пользователи\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
    2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\ProgramData\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{672E4048-D085-F7E3-4A89-3F8153982208}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{672E4048-D085-F7E3-4A89-3F8153982208}
    2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
    2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
    2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
    2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
    2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
    2018-01-06 09:05 - 2018-01-06 09:11 - 000000000 ____D C:\Users\Игорь\AppData\Local\5935c6c3176849598bccaa89803ffa45
    2018-01-06 09:04 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\49400410a8524c54a67382bfef1ab45a
    2017-12-29 19:35 - 2017-12-29 19:35 - 001980340 _____ C:\Users\Игорь\AppData\Local\Whitefan.tst
    2017-12-29 19:35 - 2017-12-29 19:35 - 000126464 _____ C:\Users\Игорь\AppData\Local\noah.dat
    2017-12-29 19:35 - 2017-12-29 19:35 - 000070800 _____ C:\Users\Игорь\AppData\Local\Config.xml
    2017-12-29 19:35 - 2017-12-29 19:35 - 000005568 _____ C:\Users\Игорь\AppData\Local\md.xml
    2017-12-29 19:30 - 2017-12-29 19:30 - 000140800 _____ C:\Users\Игорь\AppData\Local\installer.dat
    2017-12-29 19:30 - 2017-12-29 19:30 - 000014848 _____ C:\Users\Игорь\AppData\Local\srvcom.dll
    2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\aaa56a3b6d1144e28303f7eb1c7eaf60
    2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\2b089bf4930347e8809f6fd012888581
    2017-12-29 19:28 - 2017-12-29 19:28 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\b0650e045ec642bd8628e821d49cb128
    Task: {0D06D13C-ADC1-42BE-9149-0F2FDAFB7763} - \{DBBE7F67-A648-5488-CF78-112B284B400C} -> No File <==== ATTENTION
    Task: {45D5B76C-8D17-4CDD-B553-E1EB8C3721E2} - \{0D7D0B47-0E7F-7908-0D11-0B040A04110D} -> No File <==== ATTENTION
    Task: {9F47E1D4-CC1E-4651-99C6-B944ED56DD72} - \vqiVoSqILKMveFzSg2 -> No File <==== ATTENTION
    Task: {B1D3A741-3D94-4EDC-B22E-98A546ECC82F} - \{819CF309-3637-44A2-7C22-686EE539B6E2} -> No File <==== ATTENTION
    Task: {ECACE2DA-E4D5-4538-B977-5E80F902BC1C} - \F34F9528-126E-938F-0815-3CC3309D9DF1 -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

сделаю. в моем компьютере пустая папка\файл не убралась от яндекс диск. а ее как убрать?

 

сделаю. на скрине пустая папка появилась от яндекс диск. а ее как убрать?

post-32258-0-42460400-1516211292_thumb.jpg

Изменено пользователем lolich25
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden
    C:\Users\Игорь\Links\Яндекс.Диск.lnk
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

2.

Ярлыки

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

3.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Менеджер браузеров

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • SiGiDi
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

×
×
  • Создать...