Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Скачал keygen. Словил вирус.  KIS: "Обнаруженный объект (память процесса) не обработан;C:\Users\Максим\AppData\Local\Temp\RarSFX0\keygen-pr.exe;"

 

Вот архив


  • Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt угрозу не обнаруживают

((

post-56664-0-34269000-1574804692_thumb.jpg

CollectionLog-2019.11.27-00.51.zip

post-56664-0-79520000-1574807105_thumb.jpg

Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)


- Подготовьте лог AdwCleaner и приложите его в теме.
 
  • Спасибо (+1) 1
Опубликовано

@Dr.MxM, очистите отчёты антивируса и проверьте проблему.


+

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

  • Спасибо (+1) 2
Опубликовано

@Dr.MxM, очистите отчёты антивируса и проверьте проблему.

+

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

Отчет очистил. Произвел полную проверку. Угроз не обнаружено. Вот логи

CBS.LOG

sfcdoc.log

Опубликовано

@Dr.MxM, почистим ещё мусор.

1) https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

Удалите хвосты McAfee, а также через кавремовер попробуйте удалить хвосты только от KIS18

 

2) Выполните скрипт uVS

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\CHROME_BITS_11788_1274860615\8841DBF101CEDCCFD39E5458FED116D876DE9A5D45557362239ADE918821EAF1.CRXD
    delref E:\HISUITEDOWNLOADER.EXE
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\RAR$EXA5940.6601\KERNELD.X64
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\MCOUAS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\VSSBRIDGE64.EXE
    delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP18.0.0\BASES\AMSI\AMSI_PLUGIN32.DLL.166187709E6884EF59F827AA66FF716A
    delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP18.0.0\BASES\AMSI\AMSI_PLUGIN64.DLL.381461D2B997ADC8FF02991EB966A8B5
    delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMC.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMSVC.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\VBOXPROXYSTUB.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\X86\NOXVMC-X86.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\63123~1.1\MCCOREPS.DLL
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.


Подробнее читайте в этом руководстве.
 

 

3) Во время сканирования батником были восстановлены файлы, для того чтобы убедиться что всё корректно восстановило запустите им проверку ещё раз и приложите свежие логи.

Опубликовано

Кавремовер не обраружил KIS18. Свежие логи прикрепил.

Сообщение от модератора SQ
Удалено чрезмерное цитирование. Пожалуйста не цитируйте скрипты и фиксы, так как осложняет чтение ваших ответов/сообщений.

Выполнить_проверку_sfc_scannow.rar

Опубликовано

1) не надо заниматься оверквотингом, это нарушение правил форума.

 

2) Удалите файл

C:\Windows\Logs\CBS\CBS.log

и ещё раз запустите проверку батника и свежие логи приложите.

  • Спасибо (+1) 1
Опубликовано

порядок.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Спасибо (+1) 1
Опубликовано

Последнюю рекомендацию нужно выполнять в AVZ, а не в uVS

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
×
×
  • Создать...