Перейти к содержанию

Рекомендуемые сообщения

Подхватил с флешки в универе данный вирус.
Защитник Windows видит его, и ложит в карантин, но удалить его полностью почему-то не могу, гуглил, искал в реестре записи вируса, но их там не было. Хелп

Ссылка на сообщение
Поделиться на другие сайты

Скачал KVRT, проверил, он ничего не нашел.
Лог со сборщика:


Фото c карантина

pnfg:

 post-45973-0-37472700-1554905356_thumb.png

 

CollectionLog-2019.04.10-17.02.zip

Изменено пользователем elaits
Ссылка на сообщение
Поделиться на другие сайты

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__190324
O4 - HKCU\..\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing)
3.
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

1. https://virusinfo.info/virusdetector/report.php?md5=459B764EF473875D25369F048844E898

2. Пофиксил

3. Выполнил
 

AdwCleanerS00.txt

Изменено пользователем elaits
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сделал


2019-03-28 14:36 - 2019-03-28 14:36 - 000000000 _RSHD C:\Users\elaits\7084774086078605780
 

не странная ли строка? В папке elaits её нету


Нашел C:\Users\elaits\7084774086078605780 маскируется под системный файл, поэтому не было видно. Скорей всего это и есть причина создания темы, какие дальнейшие действия с этой папкой?

FRST.txt

Addition.txt

AdwCleanerC01.txt

Изменено пользователем elaits
Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    FF NewTab: Mozilla\Firefox\Profiles\0o99uktt.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__190324
    Folder:C:\Users\elaits\7084774086078605780
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Защитник по-прежнему обнаруживает угрозу?

Ссылка на сообщение
Поделиться на другие сайты

Прикрепил лог.

 

Из карантина в Windows Defender вирус пропал. Появится или нет, покажет время, ибо раньше, после ручной проверки он ничего не находил, но когда вирус активизировался, то антивирус выводил сообщение  "Принятно решение в отношении одной или нескольких угроз, нажмите чтобы узнать подробнее..."


Благодарю за помощь, каждое моё обращение на ваш форум получает ответ и решение от специалистов, не знаю чтобы я без вас делал, наверно, полное восстановление системы, ибо по гайдам из интернета, можно только покопаться в реестре и поискать "вредоносные" записи, которых у меня не было. Спасибо за помощь, Sandor!

 

Ещё один маленький вопрос по этому вирусу, стоит ли сменить пароли на аккаунтах? Написано что эта гадость может тырить пароли, но антивирус же смог отследить вирус и поместить в карантин до исполнения плохих дел, или всё-таки нет?

Fixlog.txt

Изменено пользователем elaits
Ссылка на сообщение
Поделиться на другие сайты

C:\Users\elaits\7084774086078605780

Эту папку упакуйте с паролем infected и отправьте мне личным сообщением.

 

Далее:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------

VMware Workstation v.15.0.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------

VMware Workstation v.15.0.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

 

Какие действия с этими приложениями? Обновить их или удалить?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...