Перейти к содержанию
Правила раздела

Трояны после активатора windows

Don't Speak

От Don't Speak
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Don't Speak Новичок

Don't Speak

Опубликовано
Опубликовано (изменено)

После скачивания активатора Windows загрузилась куча adware контента. Почистил adwcleaner'ом и hitmanpro. После этого cureit находит трояны, но вылечить не получается.

CollectionLog-2019.02.25-09.49.zip

Изменено пользователем Don't Speak
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

CloudNet удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 SetServiceStart('NjMzZTY1ODR', 4);
 DeleteService('NjMzZTY1ODR');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\system32\drivers\NjMzZTY1ODR','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 TerminateProcessByName('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe');
 QuarantineFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\system32\drivers\NjMzZTY1ODR','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsDefender','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 DeleteSchedulerTask('ixjas');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ntrtyky');
 DeleteSchedulerTask('otuoxymsoa');
 DeleteSchedulerTask('oubxhzdev');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('{770AA3E6-07C6-85DD-9D8D-3511071257EA}');
 DeleteSchedulerTask('{77E17ACC-EE20-274D-C081-FF41218571EE}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Don't Speak Новичок

Don't Speak

Опубликовано
  • Автор
Опубликовано (изменено)

Не удается запустить скрипт, вирус блокирует программу и она зависает после запуска.

Скрипты выполнены, новые логи прилагаю.

CollectionLog-2019.02.25-18.36.zip

Изменено пользователем Don't Speak
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\MGJlN.exe
File: C:\Users\oikyr_000\AppData\Local\Temp\WinNc.exe
File: C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe
Folder: C:\Users\oikyr_000\AppData\Roaming\WinNc
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\oikyr_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbbcbihnibkgomhfgbknbplclcimedpm [2019-02-25]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MjYyZDg; rundll32.exe C:\Windows\kfmqptfrtx.kfmqp NcJNkndZkHRFyskfXEW [X]
2019-02-25 18:06 - 2019-02-25 18:06 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc
2019-02-25 10:03 - 2019-02-25 10:03 - 000000000 ____D C:\Users\Alexandra\AppData\Roaming\EpicNet Inc
2019-02-25 09:36 - 2019-02-25 09:41 - 001435136 _____ C:\Windows\windefender.bak
2019-02-25 09:19 - 2019-02-25 18:28 - 000000000 ___HD C:\Windows\rss
2019-02-25 08:56 - 2019-02-25 08:56 - 006161408 _____ C:\Users\oikyr_000\AppData\Local\dump007.dat
2019-02-25 08:56 - 2019-02-25 08:56 - 000000011 _____ C:\Users\oikyr_000\setup24.ini
2019-02-25 08:56 - 2019-02-25 08:56 - 000000009 _____ C:\Users\oikyr_000\rstr4.ini
2019-02-25 08:55 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files\2QLG9L6C4Z
2019-02-25 08:41 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\NmM2N2Y2M2Y
2019-02-25 08:40 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\67SW5DVNXW
2019-02-25 08:40 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\pg3rht2hlrb
2019-02-25 08:40 - 2019-02-25 08:40 - 000000258 __RSH C:\Users\oikyr_000\ntuser.pol
2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\Users\Все пользователи\appdata.dat
2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\ProgramData\appdata.dat
2019-02-25 08:24 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\h4gu3pkkxgo
2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\wrsrsmyzjr4
2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gsngdfs1mlw
2019-02-25 08:15 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files (x86)\wxcereh
2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\r0usjijbt5x
2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gfmqxa4fbf1
2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\Users\Все пользователи\ntuser.pol
2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\ProgramData\ntuser.pol
2019-02-25 08:11 - 2019-02-25 08:35 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\nvpyfj5dxee
2019-02-25 08:15 - 2019-02-25 08:15 - 000375522 _____ (                                                            ) C:\Users\oikyr_000\AppData\Local\Temp\b5o4bvfikpc.exe
Task: {2AA045D1-3224-4970-9621-FAF442399D9F} - \One System CarePeriod -> No File <==== ATTENTION
Task: {49DFA37B-F2C8-4A3D-B58A-1503236DE937} - \One System Care Monitor -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:C59E90A4 [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C59E90A4 [127]
HKLM\...\StartupApproved\Run: => "WindowsDefender"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "3ID7OKIR393SDLH"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "C9I32KC64EMG0YI"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "8181833"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "YMBU4LNGZD4BFBJ"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "CloudNet"
FirewallRules: [TCP Query User{24037FED-8503-4289-99FA-E86565F453C0}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File
FirewallRules: [UDP Query User{DB290E08-0A43-4261-B4DD-94F88BF3D67C}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File
FirewallRules: [{D764D21E-120D-4D7C-83CA-033DFE095796}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File
FirewallRules: [{585B2FFC-B06B-4B02-A36E-A2A8F5E77BF1}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File
FirewallRules: [{340BE304-D720-4FAE-982E-2411A5A91AD4}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File
FirewallRules: [{87244CD4-38ED-421A-8685-04E3072CD1E8}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File
FirewallRules: [{3EEDB5BF-D34C-480B-BE87-37AC492126CE}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File
FirewallRules: [{F267F887-2961-48BC-9E59-942C363A870D}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File
FirewallRules: [{9CE26B88-2C0E-47BF-B42D-4D0FDC2C4A73}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File
FirewallRules: [{BEAB8CC7-4215-46E2-9D7E-F3EEC6EB2207}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File
FirewallRules: [{9F8888DC-B8A1-4C22-B125-9DF090ABAE8B}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File
FirewallRules: [{3583B8DB-CF41-4A5D-8615-16D66AC6F222}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File
FirewallRules: [TCP Query User{D6819C84-C60E-4795-8F4F-6E84664E0534}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File
FirewallRules: [UDP Query User{B9B04423-9E23-4166-99AF-CC10405B8326}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File
FirewallRules: [TCP Query User{DADAE0DB-1BBC-4263-8312-56D74650DF72}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File
FirewallRules: [UDP Query User{13BD59C5-583C-46C5-8204-858067071908}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File
FirewallRules: [TCP Query User{8BF69A99-EF69-41D9-9A1B-385F6C704476}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File
FirewallRules: [UDP Query User{89BC95E2-4C68-4503-877B-E4FA4E94FC36}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File
FirewallRules: [{EE382BDD-AECA-42A2-A72D-53C271EECE82}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe No File
FirewallRules: [{3E385F16-9DC4-479C-A44C-676732A5C931}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File
FirewallRules: [{40F15141-4AD5-42EF-A52A-CFA485D0AB82}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File
FirewallRules: [{F03E0E98-0ABA-4553-BC53-289833E42DE5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{474FCC64-34A2-4A22-86EC-8FAB5B4CDEA5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{B6936841-5038-459A-A519-278840009DBB}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{FA714888-3BA0-4F84-AEC4-C7395DB40AAC}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{AFAAA078-D5A6-4063-847C-40BF3E03DFF4}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{E660D48D-BEE5-41A7-9FD7-F93EEBBCA5A7}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{02025109-78D2-4E19-8664-247EFA166AFD}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{1FFDE30D-9A36-4585-A1B2-85ED3621F55F}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{9E7F256E-5E9E-436E-BAC8-B9D6FAC4B107}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{229A93F9-9544-4C70-B1AA-169F783D24E5}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
C:\Users\oikyr_000\AppData\Local\Temp\csrss
FirewallRules: [{E57D1649-2BC4-4C4D-BDA4-D03C641CF265}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{9B996D64-E20D-4B98-AD15-5B9B4D8D5847}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{D00B47EE-1AF4-40B3-9978-497166F73210}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{F42CE9BA-5DEF-46AF-9FE5-293C50D41178}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{B3CE047C-D753-4799-A826-EED087009FB6}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{DDAEA7B9-7BE4-45E2-8152-D93F4305AAC0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{4233408F-CE79-492C-A380-246420414B17}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{CE44DEDC-9B30-45F1-8AFE-596A253075E2}] => (Allow) C:\Users\Alexandra\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{FA97111E-B5C7-4E36-8CEE-6DC7E7608B42}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{8C544BB9-97FD-47E1-8DE1-023CB4874E9E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{D6F14B67-9FE3-4A5E-86A6-EE33E83BE1E8}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{899A9ABA-1B9E-436B-B1BA-7A22B35039EB}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{3EBEE3E3-22D6-4C15-BBA2-5C14A6CA5318}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{2087AE76-823B-44C2-BBEA-3B092897861E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{E378E0A7-8913-42DB-A441-79377C4D4E5F}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{3F83CFC5-3945-409D-AEB5-D818A6B8F2E0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • gennadij-zaripov
      Часы Windows
      От gennadij-zaripov
      Пробовал обновить через Microsoft Store. Когда перестали работать-не помню. Windows 11 Pro 23H2.
       


    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • ilia_.7
      PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell
      От ilia_.7
      ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.
      не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32
      я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.
      касперский при возникновениях в мониторинге активности выводит следущее сообщение:
      17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;
       
      CollectionLog-2024.11.21-20.30.zip
×
×
  • Создать...