Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите уничтожить трояна и, по-моему, червя

Apollon

Автор Apollon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Apollon Ветеран

Apollon

Опубликовано
Опубликовано

ЛК выручайте пожалуйста, этот троян эпидемия какая то, еле еле пару логов сделал при помощи хисджака и авз один лог, а ост синий экран, а виндовс переустанавливать некак нельзя. Помогите пожалуйста.

avz_sysinfo.zip

avz_sysinfo2.zip

hijackthislog.zip

Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано (изменено)

Странно,а почему вы не пошли с просьбой о помощи на форум Доктора?

 

Отключите антивирус и интернет!

 

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winqf67.sys

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\lphccwsj0e559.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\User.9169DC64D881411\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winqf67.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\documents and settings\user.9169dc64d881411\cftmon.exe','');
QuarantineFile('c:\windows\system32\braviax.exe','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
TerminateProcessByName('c:\documents and settings\user.9169dc64d881411\cftmon.exe');
DeleteService('Winqf67');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('c:\documents and settings\user.9169dc64d881411\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winqf67.sys');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\cftmon.exe');
DeleteFile('C:\Documents and Settings\User.9169DC64D881411\cftmon.exe');
DeleteFile('C:\WINDOWS\system32\blphccwsj0e559.scr');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\system32\lphccwsj0e559.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('mp3res.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winqf67');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

Изменено пользователем Гриша
Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано

Спасибо :)

 

Скачать,меню,File,появится аналог проводника,найти:

нету там ни какого провадника :),

spoolsv.exe еще тут и не куда не девался, логи вышлю мин так через 10- 15 может чуть больше потому что комп тормазит :)

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано

вирус неубирается, он засел по полной я уже все вычистил все перетрес, он тут эпидемию устроить решил. что делать? а логи с компа уже 2-ой час считываются и потом синий экран смерти что делть?

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано (изменено)

По верхнему скрипту все сделал, а он run.dll32 сьел, терь это не виндовз, а жуйдос! спасибо за помощь, все равно теперь придется все переустанавливать :)

Изменено пользователем User
Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
vadimjp Новичок

vadimjp

Опубликовано
Опубликовано

А кто может подсказать, как избавиться от этого файла в реестре?

Сам вирус успешно прибит, но после каждой перезагрузки запись о twext.exe появляется в ключе:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Егоррр
      Троян - MEM:Trojan.Win32.SEPEH
      Автор Егоррр
      Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

      отчет.rar
    • Maksum
      [РЕШЕНО] Трояны
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • orpham
      троян .kwx8
      Автор orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • Serhio0606
      Вирус, троян, замаскированный под проводник.
      Автор Serhio0606
      Здравствуйте, столкнулся с такой проблемой. На компьютере подхватил вирус, предполагаю, что майнер. Он маскируется под проводник explorer.exe и его не видит ни один антивирус, когда нажимаю расположение файла, переходит на обыкновенный проводник, но это вирус: во первых при всех закрытых приложениях (и в трее) по какой-то причине он всегда стабильно загружает процессор на 30% и конечно же при входе в диспетчер задач резко перестаёт, также я читал, что в диспетчере задач не может быть более одного проводника, а у меня их два. При закрытии задачи или перезагрузки компьютер полностью перезагружается (мгновенно выключается). Но по видимому он не самый мощный (вирус) и он не умеет как более продвинутые закрывать диспетчер задач через время, и можно пользоваться компьютером с открытым диспетчером. Так же ещё после него почему-то не всегда запускается, видимо совсем не качественный. Но при открытии диспетчера задач, во вкладке сведения, он не появляется в состоянии приостановлен, как делают некоторые майнеры, а видимо просто по тихому прекращает работать, но остаётся активным съедая максимум 1% цп. Но при всех нюансах он никаким пока, что образом не исчез, удалился и т.п. Пробовал кучу разных антивирусов с разными функциями и не один его не видит. Прошу помочь, но думаю уже просто не морочиться и снести винду.


      CollectionLog-2025.04.06-22.46.zip
×
×
  • Создать...