Перейти к содержанию
Правила раздела

Трояны после активатора windows

Don't Speak

Автор Don't Speak
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Don't Speak

Don't Speak

Опубликовано
Опубликовано (изменено)

После скачивания активатора Windows загрузилась куча adware контента. Почистил adwcleaner'ом и hitmanpro. После этого cureit находит трояны, но вылечить не получается.

CollectionLog-2019.02.25-09.49.zip

Изменено пользователем Don't Speak
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

CloudNet удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('WinmonProcessMonitor', 4);
 DeleteService('WinmonProcessMonitor');
 SetServiceStart('WinmonFS', 4);
 DeleteService('WinmonFS');
 SetServiceStart('Winmon', 4);
 DeleteService('Winmon');
 SetServiceStart('NjMzZTY1ODR', 4);
 DeleteService('NjMzZTY1ODR');
 SetServiceStart('WinDefender', 4);
 DeleteService('WinDefender');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\system32\drivers\NjMzZTY1ODR','');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\windows\windefender.exe','');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 TerminateProcessByName('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe');
 QuarantineFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe','');
 DeleteFile('c:\users\oikyr_000\appdata\local\temp\csrss\cloudnet.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('C:\Windows\system32\drivers\NjMzZTY1ODR','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsDefender','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C9I32KC64EMG0YI','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3ID7OKIR393SDLH','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LingeringGlitter','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SmallDew','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
 DeleteSchedulerTask('ixjas');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ntrtyky');
 DeleteSchedulerTask('otuoxymsoa');
 DeleteSchedulerTask('oubxhzdev');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('{770AA3E6-07C6-85DD-9D8D-3511071257EA}');
 DeleteSchedulerTask('{77E17ACC-EE20-274D-C081-FF41218571EE}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Don't Speak

Don't Speak

Опубликовано
  • Автор
Опубликовано (изменено)

Не удается запустить скрипт, вирус блокирует программу и она зависает после запуска.

Скрипты выполнены, новые логи прилагаю.

CollectionLog-2019.02.25-18.36.zip

Изменено пользователем Don't Speak
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\MGJlN.exe
File: C:\Users\oikyr_000\AppData\Local\Temp\WinNc.exe
File: C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe
Folder: C:\Users\oikyr_000\AppData\Roaming\WinNc
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\oikyr_000\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbbcbihnibkgomhfgbknbplclcimedpm [2019-02-25]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MjYyZDg; rundll32.exe C:\Windows\kfmqptfrtx.kfmqp NcJNkndZkHRFyskfXEW [X]
2019-02-25 18:06 - 2019-02-25 18:06 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc
2019-02-25 10:03 - 2019-02-25 10:03 - 000000000 ____D C:\Users\Alexandra\AppData\Roaming\EpicNet Inc
2019-02-25 09:36 - 2019-02-25 09:41 - 001435136 _____ C:\Windows\windefender.bak
2019-02-25 09:19 - 2019-02-25 18:28 - 000000000 ___HD C:\Windows\rss
2019-02-25 08:56 - 2019-02-25 08:56 - 006161408 _____ C:\Users\oikyr_000\AppData\Local\dump007.dat
2019-02-25 08:56 - 2019-02-25 08:56 - 000000011 _____ C:\Users\oikyr_000\setup24.ini
2019-02-25 08:56 - 2019-02-25 08:56 - 000000009 _____ C:\Users\oikyr_000\rstr4.ini
2019-02-25 08:55 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files\2QLG9L6C4Z
2019-02-25 08:41 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\NmM2N2Y2M2Y
2019-02-25 08:40 - 2019-02-25 08:52 - 000000000 ____D C:\Program Files\67SW5DVNXW
2019-02-25 08:40 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\pg3rht2hlrb
2019-02-25 08:40 - 2019-02-25 08:40 - 000000258 __RSH C:\Users\oikyr_000\ntuser.pol
2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\Users\Все пользователи\appdata.dat
2019-02-25 08:30 - 2019-02-25 18:52 - 000166016 _____ C:\ProgramData\appdata.dat
2019-02-25 08:24 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\h4gu3pkkxgo
2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\wrsrsmyzjr4
2019-02-25 08:23 - 2019-02-25 08:50 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gsngdfs1mlw
2019-02-25 08:15 - 2019-02-25 09:16 - 000000000 ____D C:\Program Files (x86)\wxcereh
2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\r0usjijbt5x
2019-02-25 08:12 - 2019-02-25 08:34 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\gfmqxa4fbf1
2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\Users\Все пользователи\ntuser.pol
2019-02-25 08:11 - 2019-02-25 08:40 - 000003568 __RSH C:\ProgramData\ntuser.pol
2019-02-25 08:11 - 2019-02-25 08:35 - 000000000 ____D C:\Users\oikyr_000\AppData\Roaming\nvpyfj5dxee
2019-02-25 08:15 - 2019-02-25 08:15 - 000375522 _____ (                                                            ) C:\Users\oikyr_000\AppData\Local\Temp\b5o4bvfikpc.exe
Task: {2AA045D1-3224-4970-9621-FAF442399D9F} - \One System CarePeriod -> No File <==== ATTENTION
Task: {49DFA37B-F2C8-4A3D-B58A-1503236DE937} - \One System Care Monitor -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:C59E90A4 [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C59E90A4 [127]
HKLM\...\StartupApproved\Run: => "WindowsDefender"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "3ID7OKIR393SDLH"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "C9I32KC64EMG0YI"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "8181833"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "YMBU4LNGZD4BFBJ"
HKU\S-1-5-21-2519146500-2391839629-3119498409-1003\...\StartupApproved\Run: => "CloudNet"
FirewallRules: [TCP Query User{24037FED-8503-4289-99FA-E86565F453C0}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File
FirewallRules: [UDP Query User{DB290E08-0A43-4261-B4DD-94F88BF3D67C}D:\blade and soul\bin\nctalk.exe] => (Allow) D:\blade and soul\bin\nctalk.exe No File
FirewallRules: [{D764D21E-120D-4D7C-83CA-033DFE095796}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File
FirewallRules: [{585B2FFC-B06B-4B02-A36E-A2A8F5E77BF1}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr.exe No File
FirewallRules: [{340BE304-D720-4FAE-982E-2411A5A91AD4}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File
FirewallRules: [{87244CD4-38ED-421A-8685-04E3072CD1E8}] => (Allow) C:\Program Files (x86)\Raptr Inc\Raptr\raptr_im.exe No File
FirewallRules: [{3EEDB5BF-D34C-480B-BE87-37AC492126CE}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File
FirewallRules: [{F267F887-2961-48BC-9E59-942C363A870D}] => (Block) C:\Program Files\Vegasaur\2.0\Vegasaur.Activation.exe No File
FirewallRules: [{9CE26B88-2C0E-47BF-B42D-4D0FDC2C4A73}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File
FirewallRules: [{BEAB8CC7-4215-46E2-9D7E-F3EEC6EB2207}] => (Block) C:\Program Files\Sony\Vegas Pro 13.0\vegas130.exe No File
FirewallRules: [{9F8888DC-B8A1-4C22-B125-9DF090ABAE8B}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File
FirewallRules: [{3583B8DB-CF41-4A5D-8615-16D66AC6F222}] => (Allow) C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv.exe No File
FirewallRules: [TCP Query User{D6819C84-C60E-4795-8F4F-6E84664E0534}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File
FirewallRules: [UDP Query User{B9B04423-9E23-4166-99AF-CC10405B8326}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe No File
FirewallRules: [TCP Query User{DADAE0DB-1BBC-4263-8312-56D74650DF72}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File
FirewallRules: [UDP Query User{13BD59C5-583C-46C5-8204-858067071908}G:\world of warcraft\utils\wowvoiceproxy.exe] => (Allow) G:\world of warcraft\utils\wowvoiceproxy.exe No File
FirewallRules: [TCP Query User{8BF69A99-EF69-41D9-9A1B-385F6C704476}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File
FirewallRules: [UDP Query User{89BC95E2-4C68-4503-877B-E4FA4E94FC36}G:\diablo iii\x64\diablo iii64.exe] => (Block) G:\diablo iii\x64\diablo iii64.exe No File
FirewallRules: [{EE382BDD-AECA-42A2-A72D-53C271EECE82}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe No File
FirewallRules: [{3E385F16-9DC4-479C-A44C-676732A5C931}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File
FirewallRules: [{40F15141-4AD5-42EF-A52A-CFA485D0AB82}] => (Allow) D:\GTASteam\steamapps\common\Wolcen\win_x64\Wolcen.exe No File
FirewallRules: [{F03E0E98-0ABA-4553-BC53-289833E42DE5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{474FCC64-34A2-4A22-86EC-8FAB5B4CDEA5}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{B6936841-5038-459A-A519-278840009DBB}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{FA714888-3BA0-4F84-AEC4-C7395DB40AAC}] => (Allow) D:\Games\Star Wars-The Old Republic\launcher.exe No File
FirewallRules: [{AFAAA078-D5A6-4063-847C-40BF3E03DFF4}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{E660D48D-BEE5-41A7-9FD7-F93EEBBCA5A7}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{02025109-78D2-4E19-8664-247EFA166AFD}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{1FFDE30D-9A36-4585-A1B2-85ED3621F55F}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{9E7F256E-5E9E-436E-BAC8-B9D6FAC4B107}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{229A93F9-9544-4C70-B1AA-169F783D24E5}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
C:\Users\oikyr_000\AppData\Local\Temp\csrss
FirewallRules: [{E57D1649-2BC4-4C4D-BDA4-D03C641CF265}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{9B996D64-E20D-4B98-AD15-5B9B4D8D5847}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{D00B47EE-1AF4-40B3-9978-497166F73210}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{F42CE9BA-5DEF-46AF-9FE5-293C50D41178}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{B3CE047C-D753-4799-A826-EED087009FB6}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{DDAEA7B9-7BE4-45E2-8152-D93F4305AAC0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{4233408F-CE79-492C-A380-246420414B17}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{CE44DEDC-9B30-45F1-8AFE-596A253075E2}] => (Allow) C:\Users\Alexandra\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{FA97111E-B5C7-4E36-8CEE-6DC7E7608B42}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{8C544BB9-97FD-47E1-8DE1-023CB4874E9E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{D6F14B67-9FE3-4A5E-86A6-EE33E83BE1E8}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{899A9ABA-1B9E-436B-B1BA-7A22B35039EB}] => (Allow) C:\Users\oikyr_000\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{3EBEE3E3-22D6-4C15-BBA2-5C14A6CA5318}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{2087AE76-823B-44C2-BBEA-3B092897861E}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{E378E0A7-8913-42DB-A441-79377C4D4E5F}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
FirewallRules: [{3F83CFC5-3945-409D-AEB5-D818A6B8F2E0}] => (Allow) C:\Users\oikyr_000\AppData\Local\Temp\csrss\lsa64.exe (Node.js) [File not signed]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ekslva
      После удаления трояна не работает центр обновления Windows
      Автор Ekslva
      Добрый день!
      После удаления трояна с помощью Касперского, не работает центр обновлений, там вообще нет никакой информации. Находила также переименованные файлы с bkp.
      CollectionLog-2025.08.18-18.15.zip
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
×
×
  • Создать...