Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Очистка ноута от вирусов

lolich25

Автор lolich25
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

lolich25

lolich25

Опубликовано
Опубликовано

Привет. Проверил ноут утилитой касперского, adwcleaner. много чего удалилось. утилита каспер. находит троян в системной памяти, а удалить не может. логи ниже.

CollectionLog-2018.01.15-15.44.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '');
 QuarantineFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '');
 QuarantineFile('C:\ProgramData\AppriabuS\Bigtex.dll', '');
 QuarantineFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '');
 QuarantineFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0224A2FE-B58F-1555-75A5-3A035CBEF1E9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{82AA7228-3501-C583-E4BA-EBAD25F5FB31}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}\74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe', '32');
 DeleteFile('C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}\5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe', '32');
 DeleteFile('C:\ProgramData\AppriabuS\Bigtex.dll', '32');
 DeleteFile('C:\ProgramData\AppriabuS\SaltOvefresh.dll', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\Temp\6a83a35ba0af43e39d0a02ac95a204bd\5ia9a8GGkjgX.exe', '32');
 DeleteFile('C:\Users\Игорь\AppData\Local\wtrwll.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5ia9a8GGkjgX.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wtrwll', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Номер Вы указали, а ответ не сообщили.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178

adwcleaner. много чего удалилось

Если сохранились отчеты, покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
lolich25

lolich25

Опубликовано
  • Автор
Опубликовано

В антивирусных базах информация по присланным вами файлам отсутствует:
74D265F5-C379-D25E-FCFD-C20BD0194A4A.exe
5B8E1C8C-EC25-AB27-2568-FC7D020B3CEB.exe
Bigtex.dll
wtrwll.dll

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
SaltOvefresh.dll - UDS:DangerousObject.Multi.Generic
5ia9a8GGkjgX.exe - UDS:DangerousObject.Multi.Generic

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
SearchScopes: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811022
BHO-x32: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1912616014-3400252952-2331418138-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-12-29]
FF Extension: (Mail.Ru) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-29]
FF Extension: (Пульт) - C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-29]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812257"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB569E438-20EB-4469-B609-D023C6449A7A%7D&gp=811022
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
2018-01-06 09:51 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\AppriabuS
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\f84a3c7a94524f5ba6add63eb8bd0cf7
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\Users\Все пользователи\47721650c4d24546b607cc929faaa42d
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\f84a3c7a94524f5ba6add63eb8bd0cf7
2018-01-06 09:41 - 2018-01-15 12:42 - 000000000 ____D C:\ProgramData\47721650c4d24546b607cc929faaa42d
2018-01-06 09:41 - 2018-01-06 09:45 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\7ab5e4cdd0ee43eb8750699baf6e98fc
2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Все пользователи\5b549542c2eb4e4e9d17d9183822bad6
2018-01-06 09:30 - 2018-01-15 14:09 - 000000000 ____D C:\ProgramData\5b549542c2eb4e4e9d17d9183822bad6
2018-01-06 09:30 - 2018-01-06 09:30 - 000000000 ____D C:\Users\Игорь\AppData\Local\2fd69704f8a24364b367bf01241a2d52
2018-01-06 09:29 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\941b59890c2e48f0b3bd8a5e38794f70
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\Users\Все пользователи\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{6F5D53AA-D8F6-E401-A676-41198075CB7E}
2018-01-06 09:13 - 2018-01-15 16:02 - 000000000 ____D C:\ProgramData\{69446D8F-DEEF-DA24-2F6A-DA6A3A58D41E}
2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\Users\Все пользователи\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
2018-01-06 09:13 - 2018-01-15 14:03 - 000000000 ____D C:\ProgramData\{17862DAD-A02D-9A06-7A87-663DF8BA492F}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{672E4048-D085-F7E3-4A89-3F8153982208}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\Users\Все пользователи\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{93CF3E7E-2464-89D5-C608-D0DBCA14E4C9}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{672E4048-D085-F7E3-4A89-3F8153982208}
2018-01-06 09:12 - 2018-01-06 09:13 - 000000000 ____D C:\ProgramData\{08C51647-BF6E-A1EC-F627-31F85DD7F3F8}
2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
2018-01-06 09:12 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{660D0CD7-D1A6-BB7C-6FB7-EF7B013D24B0}
2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\Users\Все пользователи\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
2018-01-06 09:11 - 2018-01-06 09:12 - 000000000 ____D C:\ProgramData\{DF61680A-68CA-DFA1-28A2-C16897297D8F}
2018-01-06 09:05 - 2018-01-06 09:11 - 000000000 ____D C:\Users\Игорь\AppData\Local\5935c6c3176849598bccaa89803ffa45
2018-01-06 09:04 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\49400410a8524c54a67382bfef1ab45a
2017-12-29 19:35 - 2017-12-29 19:35 - 001980340 _____ C:\Users\Игорь\AppData\Local\Whitefan.tst
2017-12-29 19:35 - 2017-12-29 19:35 - 000126464 _____ C:\Users\Игорь\AppData\Local\noah.dat
2017-12-29 19:35 - 2017-12-29 19:35 - 000070800 _____ C:\Users\Игорь\AppData\Local\Config.xml
2017-12-29 19:35 - 2017-12-29 19:35 - 000005568 _____ C:\Users\Игорь\AppData\Local\md.xml
2017-12-29 19:30 - 2017-12-29 19:30 - 000140800 _____ C:\Users\Игорь\AppData\Local\installer.dat
2017-12-29 19:30 - 2017-12-29 19:30 - 000014848 _____ C:\Users\Игорь\AppData\Local\srvcom.dll
2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\aaa56a3b6d1144e28303f7eb1c7eaf60
2017-12-29 19:28 - 2018-01-15 14:09 - 000000000 ____D C:\Users\Игорь\AppData\Local\2b089bf4930347e8809f6fd012888581
2017-12-29 19:28 - 2017-12-29 19:28 - 000000000 ____D C:\Users\Игорь\AppData\Roaming\b0650e045ec642bd8628e821d49cb128
Task: {0D06D13C-ADC1-42BE-9149-0F2FDAFB7763} - \{DBBE7F67-A648-5488-CF78-112B284B400C} -> No File <==== ATTENTION
Task: {45D5B76C-8D17-4CDD-B553-E1EB8C3721E2} - \{0D7D0B47-0E7F-7908-0D11-0B040A04110D} -> No File <==== ATTENTION
Task: {9F47E1D4-CC1E-4651-99C6-B944ED56DD72} - \vqiVoSqILKMveFzSg2 -> No File <==== ATTENTION
Task: {B1D3A741-3D94-4EDC-B22E-98A546ECC82F} - \{819CF309-3637-44A2-7C22-686EE539B6E2} -> No File <==== ATTENTION
Task: {ECACE2DA-E4D5-4538-B977-5E80F902BC1C} - \F34F9528-126E-938F-0815-3CC3309D9DF1 -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты
lolich25

lolich25

Опубликовано
  • Автор
Опубликовано (изменено)

сделаю. в моем компьютере пустая папка\файл не убралась от яндекс диск. а ее как убрать?

 

сделаю. на скрине пустая папка появилась от яндекс диск. а ее как убрать?

post-32258-0-42460400-1516211292_thumb.jpg

Изменено пользователем lolich25
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Менеджер браузеров (HKLM-x32\...\{FABA89D9-D588-4770-9F85-F6FF9F064257}) (Version: 3.0.6.829 - Яндекс) Hidden
C:\Users\Игорь\Links\Яндекс.Диск.lnk
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

2.

Ярлыки

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

3.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Менеджер браузеров

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • naxio11
      [РЕШЕНО] Очистка хвостов с помощью FRST
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...