Перейти к содержанию
Авторизация  
krpnovosel

Помогите удалить вирус

Рекомендуемые сообщения

Антивирус касперского тотал секюрити обнаруживает загрузочного трояна, но вылечить или удалить не может, помогите!


добавил отчеты ещё

CollectionLog-2019.10.05-05.20.zip

FRST.txt

Addition.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://yambler.net/?im
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R3 - HKCU\..\URLSearchHooks: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: 31D3DFAx3D - C:\Windows\system32\cmd.exe /c "C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat"
O23 - Service S2: BDMRTP Service - (BDMRTP) - (no file)
O23 - Service S3: PSPR Control Service - (PSPRSERV) - (no file)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 SetServiceStart('BDMNetMon', 4);
 SetServiceStart('BDAntiExp', 4);
 SetServiceStart('BDEnhanceBoost', 4);
 QuarantineFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '');
 DeleteFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '64');
 DeleteSchedulerTask('31D3DFAx3D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отключите ВСЕ установленные в браузерах расширения и проверьте проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Отключил все установленные в браузерах расширения 


Отключил все установленные в браузерах расширения 


Обнаружено: Trojan.Multi.BroSubsc.gen

Расположение: System Memory

AdwCleanerS06.txt

AdwCleaner_Debug.log

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очистите отчеты антивируса с найденными угрозами, перезагрузите компьютер. Выполните проверку антивирусом и сообщите результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если проблема будет воспроизводиться и дальше приложите пожалуйста следующий лог:

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При полной проверке Kaspersky Total Security вирусов не находит. Но время от времени продолжает вылазить окно с попыткой лечить TROJAN.MULTI.BROSUBSC.gen 

 

Описание

Зловреды этого семейства устанавливаются в браузеры обманным путём на мошеннических и рекламных ресурсах и показывают рекламные уведомления, даже если окно браузера не активно.

Окна с рекламой в браузере хром постоянно вылазят.

ALEX-INC_2019-10-08_21-13-47_v4.1.7.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Закройте и сохраните все открытые приложения.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\PROGRAM FILES (X86)\ITOOLS 3\ITOOLS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

После выполнения ПК перегрузиться.
 
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите этот архив через данную форму
 
.
 
Браузер хром у Вас синхронизирован? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

скрипт выполнил, перезагрузился, но архива ZIP с именем, начинающимся с ZOO_  не появилось.

Браузер хром - да, синхронизирован 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.