alexsher91 Опубликовано 4 января, 2019 Опубликовано 4 января, 2019 (изменено) Здравствуйте! Антивирус находит Trojan.Multi.Accesstr.a.sh, но никак не может его удалить. Вроде сначала удалит, а после перезагрузки опять появляется. Windows 7. Компьютер в домене, до появления вируса ничего не устанавливалось. CollectionLog-2019.01.04-10.25.zip Изменено 4 января, 2019 пользователем alexsher91
SQ Опубликовано 4 января, 2019 Опубликовано 4 января, 2019 Здравствуйте, Удалите DriverPack (DRPNPS) через установку программ в панели управления. HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже. O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.85 Online" "1517201962967" "a7cd453b-cb90-4b01-88ab-7a43655ef01f"- Подготовьте лог AdwCleaner и приложите его в теме. Уточните пожалуйста, вы случайно не подменяли системные файлы, например подменив файл utilman.exe на cmd.exe для сброса пароля Windows?
alexsher91 Опубликовано 4 января, 2019 Автор Опубликовано 4 января, 2019 DriverPack в установках программ не было. HiJackThis профиксил. Системные файлы именно на этом компьютере не подменял. Лог AdwCleaner прикрепил. AdwCleanerS00.txt
SQ Опубликовано 4 января, 2019 Опубликовано 4 января, 2019 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
alexsher91 Опубликовано 5 января, 2019 Автор Опубликовано 5 января, 2019 Отчёт приложил. Удалил всё. AdwCleanerC00.txt
SQ Опубликовано 5 января, 2019 Опубликовано 5 января, 2019 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
alexsher91 Опубликовано 5 января, 2019 Автор Опубликовано 5 января, 2019 Приложил два отчёта. Addition.txt FRST.txt
SQ Опубликовано 5 января, 2019 Опубликовано 5 января, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: File: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe Virustotal: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe Startup: C:\Users\Mahabbat.Mekenbaeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk [2018-09-17] ShortcutTarget: NCALayer.lnk -> C:\Users\Alexandr.Sheremetyev\AppData\Roaming\NCALayer\NCALayer.exe (No File) File: C:\Windows\System32\DRIVERS\saa713x.sys File: C:\ProgramData\UserProfileMigrationService.exe File: c:\Windows\system32\utilman.exe File: C:\Windows\system32\sethc.exe Zip: c:\Windows\system32\utilman.exe;C:\Windows\system32\sethc.exe File: C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
alexsher91 Опубликовано 6 января, 2019 Автор Опубликовано 6 января, 2019 Лог прикрепил. Архив загрузил через форму. Fixlog.txt
SQ Опубликовано 6 января, 2019 Опубликовано 6 января, 2019 Согласно логу у Вас подменен файл sethc.exe на cmd.exe, что может предоставлять угрозу взлома ПК. C:\Windows\system32\sethc.exe File is digitally signed MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41 Creation and modification date: 2018-01-29 10:14 - 2010-11-20 05:24 Size: 000345088 Attributes: ----A Company Name: Microsoft Corporation Internal Name: cmd Original Name: Cmd.Exe Product: Microsoft® Windows® Operating System Description: Windows Command Processor File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) Product Version: 6.1.7601.17514 Copyright: © Microsoft Corporation. All rights reserved. Вам необходимо вернуть обратно оригинальный файл sethc.exe
regist Опубликовано 6 января, 2019 Опубликовано 6 января, 2019 Попробуйте восстановить с помощью этого скрипта. Лог работы потом прикрепите.
alexsher91 Опубликовано 6 января, 2019 Автор Опубликовано 6 января, 2019 Скрипт в конце выдал, что обнаружены повреждённые файлы, но не смог их восстановить. Лог приложил. CBS.log
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти