Перейти к содержанию

Защифрованные данные kiaracript@gmail

cooperd
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Знакома ли Вам следующая служба?

"UI0Detect" => service was unlocked. <==== ATTENTION
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShortcutTarget: desktop.lnk ->  (No File)
File: C:\MSОCachе\Miсrosоft\Windоws\DеviceMеtadаtaStоre\еn-US\MicrosoftOficeUpdate.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\inf\NETLIBRARIESTIP
File: C:\Windows\System32\SUPDSvc2.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
File: C:\Windows\system32\UI0Detect.exe
2018-07-25 16:43 - 2016-02-16 19:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Folder: C:\Windows\Font
Folder: C:\Windows\pss
Folder: C:\Users\aspnet\System
Folder: C:\ProgramData\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\Users\Все пользователи\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\ProgramData\Microsoft Services
Folder: C:\Hav
Zip: C:\Users\User1\AppData\Roaming\mon.exe;C:\Users\User1\AppData\Roaming\del.exe;C:\Users\User1\AppData\Roaming\Download.exe;C:\Users\User1\AppData\Roaming\453684.exe;C:\Users\buh1\AppData\Roaming\1058288.exe;C:\Windows\directx.sys
File: C:\Users\User1\AppData\Roaming\mon.exe
File: C:\Users\User1\AppData\Roaming\del.exe
File: C:\Users\User1\AppData\Roaming\Download.exe
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
File: C:\Windows\directx.sys
File: C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
2018-06-07 09:55 - 2018-06-07 09:55 - 000009216 ____N () C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Обратите внимание обнаружен каталог сигнализирующий проблемы с файловой системой:

2018-07-25 17:29 - 2018-07-25 17:29 - 000000000 __SHD C:\found.000
  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Windows\Font\config.json
Zip: C:\Users\aspnet\System\autch.exe;C:\Users\aspnet\System\autorun.lnk;C:\Users\aspnet\System\winlogon.exe;C:\Hav\config.json;C:\Hav\st.exe;C:\Hav\svhosts.exe
C:\Users\aspnet\System\autch.exe
C:\Hav\config.json
C:\Hav\st.exe
C:\Hav\svhosts.exe
C:\Hav
C:\Users\User1\AppData\Roaming\mon.exe
C:\Users\User1\AppData\Roaming\del.exe
C:\Users\User1\AppData\Roaming\Download.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

служба мне к сожалению не знакома, 

Похоже служба легитимная, так что проигнорируйте мой вопрос.

SQ

SQ

Опубликовано
Опубликовано

Если не начали собирать слог полного сканирования MBAM, то проигнорируйте.

Также пришли результаты карантина:
 

mon.exe - Trojan-Dropper.Win32.Agent.bjvrlj
453684.exe - Virus.Win32.Neshta.d
Download.exe - corrupted
del.exe - corrupted
autorun.lnk -  Trojan.WinLNK.Starter.ce
st.exe -  Trojan-Dropper.Win32.Agent.bjvrlf
winlogon.exe - Trojan-Spy.Win32.Delf.avic

autch.exe - not-a-virus:RiskTool.MSIL.Sidaweb.i
config.json - not-a-virus:RiskTool.HTML.Miner.b
svhosts.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Похоже остались следы файлового вируса.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста проверьте систему утилитой KVRT на наличие файлового вируса в системе.

Также рекомендуется сменить все пароли.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано (изменено)

farbar отчет 

сейчас проверяю kvrt

Fixlog.txt

Изменено пользователем cooperd
SQ

SQ

Опубликовано
Опубликовано

После проверки выполните следующее (в системе они еще присутствуют):

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Users\User1\AppData\Roaming\453684.exe
C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

сейчас проверяю kvrt

Утилита KVRT нашла все файловые вирусы? Если нет, то скачайте последнюю версию KRD.

 

Выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано

нашла 19 вирусов, все удалил. Скрипты выполнил

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...