Перейти к содержанию
Правила раздела

Очистка ноута от вирусов

lolich25

Автор lolich25
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

lolich25

lolich25

Опубликовано
Опубликовано

Привет. Проверил ноут утилитой касперского, adwcleaner. много чего удалилось. утилита каспер. находит троян в системной памяти, а удалить не может. логи ниже.

CollectionLog-2018.01.15-15.44.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '');
 QuarantineFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '');
 QuarantineFile('C:\ProgramData\AppriabuS\Bigtex.dll', '');
 QuarantineFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0224A2FE-B58F-1555-75A5-3A035CBEF1E9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{82AA7228-3501-C583-E4BA-EBAD25F5FB31}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '32');
 DeleteFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '32');
 DeleteFile('C:\ProgramData\AppriabuS\Bigtex.dll', '32');
 DeleteFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5ia9a8GGkjgX.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wtrwll', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Номер Вы указали, а ответ не сообщили.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

adwcleaner. много чего удалилось

Если сохранились отчеты, покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
lolich25

lolich25

Опубликовано
  • Автор
Опубликовано

В антивирусных базах информация по присланным вами файлам отсутствует:
74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe
5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe
Bigtex.dll
wtrwll.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
SaltOvefresh.dll - UDS:DangerousObject.Multi.Generic
5ia9a8GGkjgX.exe - UDS:DangerousObject.Multi.Generic

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
BHO-x32: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-12-29]
FF Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-29]
FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-29]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB569E438-20EB-4469-B609-D023C6449A7A%7D&gp=811022
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
2018-01-06 09:51 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\AppriabuS
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\f84a3c7a94524f5ba6add63eb8bd0cf7
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\47721650c4d24546b607cc929faaa42d
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\f84a3c7a94524f5ba6add63eb8bd0cf7
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\47721650c4d24546b607cc929faaa42d
2018-01-06 09:41 - 2018-01-06 09:45 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\7ab5e4cdd0ee43eb8750699baf6e98fc
2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Все пользователи\5b549542c2eb4e4e9d17d9183822bad6
2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\ProgramData\5b549542c2eb4e4e9d17d9183822bad6
2018-01-06 09:30 - 2018-01-06 09:30 - 000000000 ____D C:\Users\Игорь\AppData\Local\2fd69704f8a24364b367bf01241a2d52
2018-01-06 09:29 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\941b59890c2e48f0b3bd8a5e38794f70
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\Users\Все пользователи\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\ProgramData\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{672E4048-D085-F7E3-4A89-3F8153982208}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{672E4048-D085-F7E3-4A89-3F8153982208}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
2018-01-06 09:05 - 2018-01-06 09:11 - 000000000 ____D C:\Users\Игорь\AppData\Local\5935c6c3176849598bccaa89803ffa45
2018-01-06 09:04 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\49400410a8524c54a67382bfef1ab45a
2017-12-29 19:35 - 2017-12-29 19:35 - 001980340 _____ C:\Users\Игорь\AppData\Local\Whitefan.tst
2017-12-29 19:35 - 2017-12-29 19:35 - 000126464 _____ C:\Users\Игорь\AppData\Local\noah.dat
2017-12-29 19:35 - 2017-12-29 19:35 - 000070800 _____ C:\Users\Игорь\AppData\Local\Config.xml
2017-12-29 19:35 - 2017-12-29 19:35 - 000005568 _____ C:\Users\Игорь\AppData\Local\md.xml
2017-12-29 19:30 - 2017-12-29 19:30 - 000140800 _____ C:\Users\Игорь\AppData\Local\installer.dat
2017-12-29 19:30 - 2017-12-29 19:30 - 000014848 _____ C:\Users\Игорь\AppData\Local\srvcom.dll
2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\aaa56a3b6d1144e28303f7eb1c7eaf60
2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\2b089bf4930347e8809f6fd012888581
2017-12-29 19:28 - 2017-12-29 19:28 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\b0650e045ec642bd8628e821d49cb128
Task: {0D06D13C-ADC1-42BE-9149-0F2FDAFB7763} - \{DBBE7F67-A648-5488-CF78-112B284B400C} -> No File <==== ATTENTION
Task: {45D5B76C-8D17-4CDD-B553-E1EB8C3721E2} - \{0D7D0B47-0E7F-7908-0D11-0B040A04110D} -> No File <==== ATTENTION
Task: {9F47E1D4-CC1E-4651-99C6-B944ED56DD72} - \vqiVoSqILKMveFzSg2 -> No File <==== ATTENTION
Task: {B1D3A741-3D94-4EDC-B22E-98A546ECC82F} - \{819CF309-3637-44A2-7C22-686EE539B6E2} -> No File <==== ATTENTION
Task: {ECACE2DA-E4D5-4538-B977-5E80F902BC1C} - \F34F9528-126E-938F-0815-3CC3309D9DF1 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
lolich25

lolich25

Опубликовано
  • Автор
Опубликовано (изменено)

сделаю. в моем компьютере пустая папка\файл не убралась от яндекс диск. а ее как убрать?

 

сделаю. на скрине пустая папка появилась от яндекс диск. а ее как убрать?

post-32258-0-42460400-1516211292_thumb.jpg

Изменено пользователем lolich25
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden
C:\Users\Игорь\Links\Яндекс.Диск.lnk
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

2.

Ярлыки

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

3.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Менеджер браузеров

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

×
×
  • Создать...