Перейти к содержанию
Правила раздела

win32.Miner.vohw и win32.Bodan.a

Илья754

От Илья754
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Илья754 Новичок

Илья754

Опубликовано
Опубликовано (изменено)

Помогите удалить вирусы. Касперский 19 постоянно ругается, пишет что удалил, а они всё снова и снова появляются.

CollectionLog-2019.03.27-09.41.zip

Изменено пользователем Илья754
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\WindowsInternal.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\Win32WebViewHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\ShellExperienceHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\PeopleExperienceHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\CredDialogHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\BioEnrollmentHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\AccountsControlHost.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\NetworkConnectionFlow.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\BioEnrollment.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\PinningConfirmationDialog.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\AddSuggestedFoldersToLibraryDialog.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\RemindersShareTargetApp.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\LockApp.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\.IdentityService\AssignedAccessLockApp.exe','');
 QuarantineFile('C:\Users\stree\AppData\Local\Google\Software Reporter Tool\googledrives.exe','');
 TerminateProcessByName('c:\users\stree\appdata\local\flash player\software\update_flashplayer.exe');
 QuarantineFile('c:\users\stree\appdata\local\flash player\software\update_flashplayer.exe','');
 DeleteFile('c:\users\stree\appdata\local\flash player\software\update_flashplayer.exe','32');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\AssignedAccessLockApp.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\LockApp.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\RemindersShareTargetApp.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\AddSuggestedFoldersToLibraryDialog.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\PinningConfirmationDialog.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\BioEnrollment.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\NetworkConnectionFlow.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\AccountsControlHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\BioEnrollmentHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\CredDialogHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\PeopleExperienceHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\ShellExperienceHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\Win32WebViewHost.exe','64');
 DeleteFile('C:\Users\stree\AppData\Local\.IdentityService\WindowsInternal.exe','64');
 DeleteSchedulerTask('InternalWindows');
 DeleteSchedulerTask('HostWin32WebView');
 DeleteSchedulerTask('HostShellExperience');
 DeleteSchedulerTask('HostPeopleExperience');
 DeleteSchedulerTask('HostCredDialog');
 DeleteSchedulerTask('HostBioEnrollment');
 DeleteSchedulerTask('HostAccountsControl');
 DeleteSchedulerTask('FlowNetworkConnection');
 DeleteSchedulerTask('EnrollmentBio');
 DeleteSchedulerTask('DialogPinningConfirmation');
 DeleteSchedulerTask('DialogAddSuggestedFoldersToLibrary');
 DeleteSchedulerTask('AppRemindersShareTarget');
 DeleteSchedulerTask('AppLock');
 DeleteSchedulerTask('AppAssignedAccessLock');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-03-27 11:41 - 2019-03-27 11:41 - 000003702 _____ C:\WINDOWS\System32\Tasks\AddSuggestedFoldersToLibraryDialog
2019-03-27 11:41 - 2019-03-27 11:41 - 000003674 _____ C:\WINDOWS\System32\Tasks\CameraBarcodeScannerPreview
2019-03-27 11:41 - 2019-03-27 11:41 - 000003650 _____ C:\WINDOWS\System32\Tasks\AssignedAccessLockApp
2019-03-27 11:41 - 2019-03-27 11:41 - 000003626 _____ C:\WINDOWS\System32\Tasks\RemindersServer
2019-03-27 11:41 - 2019-03-27 11:41 - 000003626 _____ C:\WINDOWS\System32\Tasks\ActionUriServer
2019-03-27 11:41 - 2019-03-27 11:41 - 000003622 _____ C:\WINDOWS\System32\Tasks\CHXSmartScreen
2019-03-27 11:41 - 2019-03-27 11:41 - 000003618 _____ C:\WINDOWS\System32\Tasks\CapturePicker
2019-03-27 11:41 - 2019-03-27 11:41 - 000003618 _____ C:\WINDOWS\System32\Tasks\AppResolverUX
2019-03-27 11:41 - 2019-03-27 11:41 - 000003614 _____ C:\WINDOWS\System32\Tasks\PlacesServer
2019-03-27 11:38 - 2019-03-27 11:38 - 000003702 _____ C:\WINDOWS\System32\Tasks\DialogAddSuggestedFoldersToLibrary
2019-03-27 11:38 - 2019-03-27 11:38 - 000003674 _____ C:\WINDOWS\System32\Tasks\PreviewCameraBarcodeScanner
2019-03-27 11:38 - 2019-03-27 11:38 - 000003650 _____ C:\WINDOWS\System32\Tasks\AppAssignedAccessLock
2019-03-27 11:38 - 2019-03-27 11:38 - 000003630 _____ C:\WINDOWS\System32\Tasks\HostWin32WebView
2019-03-27 11:38 - 2019-03-27 11:38 - 000003626 _____ C:\WINDOWS\System32\Tasks\ServerReminders
2019-03-27 11:38 - 2019-03-27 11:38 - 000003626 _____ C:\WINDOWS\System32\Tasks\ServerActionUri
2019-03-27 11:38 - 2019-03-27 11:38 - 000003622 _____ C:\WINDOWS\System32\Tasks\ScreenCHXSmart
2019-03-27 11:38 - 2019-03-27 11:38 - 000003618 _____ C:\WINDOWS\System32\Tasks\UXAppResolver
2019-03-27 11:38 - 2019-03-27 11:38 - 000003618 _____ C:\WINDOWS\System32\Tasks\PickerCapture
2019-03-27 11:38 - 2019-03-27 11:38 - 000003614 _____ C:\WINDOWS\System32\Tasks\ServerPlaces
2019-03-27 11:38 - 2019-03-27 11:38 - 000003608 _____ C:\WINDOWS\System32\Tasks\SynapNvTm
Folder: C:\Users\stree\AppData\Local\.IdentityService
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Заархивируйте содержимое папки C:\Users\stree\AppData\Local\.IdentityService в архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      От Сергей Владивостокский
      Не могу удалить - mem:trojan win32 sepeh gen
      Антивирус его удаляет только с перезагрузкой, но каждый раз он появляется вновь 
    • Sweethome-2005
      Шифровальщик .DEEP (Win32.Phobos.vho)
      От Sweethome-2005
      Поймал шифровальщик. Вероятно влез через открытый проброс порта RDP на роутере.
      шифрованные файлы.rar Addition.rar FRST.rar
    • valeriithehuman
      [РЕШЕНО] троян win32/phonzy.b ml как удалить
      От valeriithehuman
      Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
      Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.
      Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
      заранее спасибо за помощь 
      CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txt
    • Nucleus
      Работа с AlReader2.win32.ru
      От Nucleus
      Вчера, после обновления КАВ на Касперский стандарт пришлось удалять антивирус, так как он блокировал открытие страниц интернета, но суть вопроса не в этом.
      Читаю и редактирую электронные книги, формат книг ******.fb2.zip. То есть каждая книга хранится в архиве. До удаления касперского работа с файлами происходила в стандартном режиме, я использую Тотал Командер вместо Проводника, открываю fb2.zip двумя кликами, посмотрел и пытаюсь открыть следующий файл, находящийся в том же каталоге что и предыдущий файл. И вот тут появились различиия при открытии до и после удаления касперского.
      Если раньше при открытии книги ОС меня перемещала в директорию, где находился открытый файл, к примеру я открыл файл по такому адресу - D:\My Office\Documents\Alex&Books\М\Мarkys\301262 Сверхъестественное (СИ).fb2.zip то открытие другой книги через AlReader2 открывало тот же файл, и я переходил в каталог, который нужен.
      Теперь же, при открытии нового файла ОС перемещает не в ту же директорию, где находится файл электронной книги, а открывает во временной директории книги, распакованной из архива - C:\Tmp\_tc\Markys__Sverhestestvennoe_(SI)_LitLife.club_301262_original_9eb69.fb2
      А эта ситуация довольно неприятная, так как заново приходится перемещаться в каталог с библиотекой, и переоткрывать дополнительно несколько лишних каталогов.
      Вот и подошел к сути вопросов, почему AlReader2 поменял принцип открытия файлов после удаления антивируса Касперского.
    • Igor77
      (Расшифровано) Шифровальщик win32/sorikrypt
      От Igor77
      Доброго дня!
      Пойман шифровальщик, опознанный антивирусом от мелкософта как win32/sorikrypt. Предыстория появления: на компе для удаленной работы включен rdp, пользователи, как выяснилось, могли запускать браузер в rdp сеансе, соответственно скачивать и открывать файлы. В диспетчере задач запущено несколько процессов от левого пользователя (ранее не создавался) с правами администратора. Процессы прибил, пользователь был отключен. Зашифрованные файлы имеют расширение .CoV и тип CRYPTED! Ни один из доступных инструментов для расшифровки не помог.  Вредоносные файлы, какие нашел - в архиве virus.zip. Лог и FRST, образцы зашифрованных файлов и требование выкупа в архиве files.zip
      files.zip virus.zip
×
×
  • Создать...