Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Не удаляется Trojan.win32.Foxhiex.vzn

Santaa

Автор Santaa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Santaa Новичок

Santaa

Опубликовано
Опубликовано (изменено)

Добрый вечер, не могу удалить троян Trojan.win32.Foxhiex.vzn, выскакивает окошка с проблемой удаляешь вирус с перезагрузкой, и потом опять уведомляет один и тот же вирус постоянно , и появился  в браузере редирект перекидывает на другие сайты! 

Помогите очень буду признателен! 

Пока добавил в исключение мешает!

 

post-48685-0-45330300-1516479655_thumb.png

Изменено пользователем Santaa
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','');
 QuarantineFile('C:\Windows\uoIjj.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\srqbxovhnm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ujnetpngpl','command');
 DeleteFile('C:\Windows\system32\Tasks\CYUTZuYIiAb','64');
 DeleteFile('C:\Windows\system32\Tasks\oaWotWOOr','64');
 DeleteFile('C:\Windows\system32\Tasks\rgyxA','64');
 DeleteFile('C:\Windows\system32\Tasks\Security kernel alive','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','32');
 DeleteFile('C:\Windows\uoIjj.bat','32');
 DeleteFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','32');
 DeleteFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Santaa Новичок

Santaa

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','');
 QuarantineFile('C:\Windows\uoIjj.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\srqbxovhnm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ujnetpngpl','command');
 DeleteFile('C:\Windows\system32\Tasks\CYUTZuYIiAb','64');
 DeleteFile('C:\Windows\system32\Tasks\oaWotWOOr','64');
 DeleteFile('C:\Windows\system32\Tasks\rgyxA','64');
 DeleteFile('C:\Windows\system32\Tasks\Security kernel alive','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','32');
 DeleteFile('C:\Windows\uoIjj.bat','32');
 DeleteFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','32');
 DeleteFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

KLAN-7546892220

CollectionLog-2018.01.21-12.28.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AutoConfigURL: [S-1-5-21-142851096-1159851177-1212156851-1000] => hxxp://webunstop.net/wpad.dat?219ec99c6aa27986c0905c68ad92b95237799036
ManualProxies: 0hxxp://webunstop.net/wpad.dat?219ec99c6aa27986c0905c68ad92b95237799036
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockIE
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockU
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockUn
2018-01-14 04:24 - 2009-07-14 07:14 - 000000061 _____ () C:\Users\User\AppData\Local\AIiVysiuUQBou
2018-01-14 04:24 - 2009-07-14 07:14 - 000001233 _____ () C:\Users\User\AppData\Local\nUELwUUJo
2009-07-14 07:14 - 2009-07-14 07:14 - 000001233 ____N () C:\Users\User\AppData\Local\nUELwUUJo.bat
2018-01-14 15:58 - 2018-01-14 15:58 - 000000001 _RHOT () C:\Users\User\AppData\Local\PCBooster
2017-05-15 19:48 - 2017-05-15 19:48 - 000000001 _RHOT () C:\Users\User\AppData\Local\SearchGo
2017-05-15 19:48 - 2017-05-15 19:48 - 000000001 _RHOT () C:\Users\User\AppData\Local\svshost
2018-01-14 04:24 - 2018-01-14 04:24 - 000000001 _____ () C:\Users\User\AppData\Local\WMI.ini
2018-01-21 05:00 - 2018-01-21 05:00 - 002674808 ___SH () C:\Users\User\AppData\Local\Temp\x64.exe
ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
Task: {199B559E-FEDD-41B1-8B6E-165560EF3D36} - System32\Tasks\Microsoft Updater => C:\Users\User\AppData\Local\Temp\x64.exe [2018-01-21] () <==== ATTENTION
Task: {2D87C32F-18BA-425E-9D41-4CC1CFD25685} - \CYUTZuYIiAb -> No File <==== ATTENTION
Task: {401CA876-20AD-4E73-95F4-75D5F475F1C3} - System32\Tasks\WinThruster64-User-Startup => D:\WinThruster64.exe [2017-11-09] (Solvusoft Corporation) <==== ATTENTION
Task: {466F302F-6F39-48C0-8199-C9EE15D971F0} - \Security kernel alive -> No File <==== ATTENTION
Task: {58942D88-928E-4841-97E1-AE5C506AA798} - \KMSAuto -> No File <==== ATTENTION
Task: {7585013E-AD48-4159-B55E-F2E194B58E07} - \Start Windows Idle Driver -> No File <==== ATTENTION
Task: {78C92367-D5ED-4597-A770-E4CAD39D6D01} - \{B254D7F2-2D1A-4317-84AA-DAEEC9A2C551} -> No File <==== ATTENTION
Task: {93BF6A9C-8BC8-4826-AFBD-F58E3A2F67DE} - \MicrosoftServ -> No File <==== ATTENTION
Task: {AF97954A-8121-4603-8A4D-9650AD357482} - \{0090EBCE-C96E-4F0D-9B8E-8DDDC6F3F81B} -> No File <==== ATTENTION
Task: {B4956DC4-526F-4468-8690-B561A05427E0} - \rgyxA -> No File <==== ATTENTION
Task: {BAD39D93-19A6-4708-8C2A-1ACD58E5FA2F} - \{243F2A72-B264-41FD-9905-CD1D97FA5C15} -> No File <==== ATTENTION
Task: {C376C352-7696-4529-8E3B-79069064D51E} - \MicrosoftUpdaters -> No File <==== ATTENTION
Task: {D425D079-7E94-4DBB-953F-6689BD770926} - \{4CC9E232-A58A-4114-8015-297A22963AC3} -> No File <==== ATTENTION
Task: {E0C71778-C5FC-4447-B96A-E71F179AE5FA} - \KAntiMalware -> No File <==== ATTENTION
Task: {E83DDD56-A067-488D-BA45-9981676CCFEF} - System32\Tasks\WinThruster64-User-Notification => D:\Sync.exe [2017-11-09] (Solvusoft Corporation) <==== ATTENTION
Task: {EA6A0C2A-F04C-4F35-A5BD-A15B39E9477A} - \oaWotWOOr -> No File <==== ATTENTION
Task: C:\Windows\Tasks\WinThruster64-User-Notification.job => D:\Sync.exe <==== ATTENTION
Task: C:\Windows\Tasks\WinThruster64-User-Startup.job => D:\WinThruster64.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
MSCONFIG\startupreg: srqbxovhnm => explorer "http://oztumti.ru/?utm_source=uoua03&utm_content=0066319f24e731895037cbf820791226&utm_term=B1DF219C846693507544BF41CC6DF3A2&utm_d=20170415"
MSCONFIG\startupreg: ujnetpngpl => explorer "http://meribal.ru/?utm_source=uoua03&utm_content=6c10b317d9a47a5e6ebd9bafe2fbc906&utm_term=B1DF219C846693507544BF41CC6DF3A2&utm_d=20170415"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Onimusha
      Не удаляется NET:MALWARE.UR
      Автор Onimusha
      Приветствую,вирус не удалялся  некак,пробовал несколько раз.Грузил процессор,медленно отключал компютер https://disk.yandex.ru/d/Cs1hFO9jtEttSA https://disk.yandex.ru/d/GlrM6YcJ3wuo1g 
      Сделал как советовал консультатн под ником Sandor вот тут 
       
    • Kosch
      Trojan.Win32.SEPEH.gen не лечится
      Автор Kosch
      Здравствуйте!
       
      Прилетели два трояна
      Trojan.Win32.SEPEH.gen
      Trojan.Multi.Agent.gen
       
      вылечить не получается
      загружался с Kaspersky Virus Removal Tool - не находит :(
       
      Помогите пожалуйста!
       
      KIS.txt
    • NeVoms
      Trojan.Win32.SEPEH
      Автор NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
    • Sibir72
      [РЕШЕНО] Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen
      Автор Sibir72
      Здравствуйте!
       
      Прошу помощи с удалением троянов, обычным касперским не лечится. Пробовал лечить Kaspersky Virus Removal Tool, не помогло. 
      Судя по темам на данном форуме - проблема распространенная.
       
      Список вредителей:
      MEM:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
       
      логи из программ прикладываю.
      KF.txtCollectionLog-2025.03.24-22.27.zipreport KVRT.txtOLDAMDPC_2025-03-24_22-34-03_v4.99.10v x64.7z
    • mrolya
      [РЕШЕНО] Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
×
×
  • Создать...