drivemesky 0 Опубликовано 18 декабря, 2019 Share Опубликовано 18 декабря, 2019 Добрый день. На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами: C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup C:\Users\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Так эти объекты идентифицирует Kaspersky free: 18.12.2019 16.55.01;Обнаруженный объект (файл) больше не доступен;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;Worm.NSIS.BitMin.d;Вирус;12/18/2019 16:55:01 Проверял cureit, malwarebytes anti-malware, adwcleaner. Ничего не обнаруживают. Установил все актуальные обновления windows. Не помогло. Помогите пожалуйста справиться. CollectionLog-2019.12.18-17.03.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 декабря, 2019 Share Опубликовано 18 декабря, 2019 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', ''); QuarantineFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', ''); QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64'); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', ''); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64'); DeleteFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', ''); DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 19 декабря, 2019 Автор Share Опубликовано 19 декабря, 2019 Скрипт выполнил. Новый лог прикрепил. CollectionLog-2019.12.19-09.24.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 декабря, 2019 Share Опубликовано 19 декабря, 2019 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 19 декабря, 2019 Автор Share Опубликовано 19 декабря, 2019 Прикрепил. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 декабря, 2019 Share Опубликовано 19 декабря, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-449436407-1327551154-1634903953-1000\...\MountPoints2: {1dd7e8ea-b800-11e8-a412-309c230be120} - G:\wpi\MInst.exe GroupPolicy: Restriction ? <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [458] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 19 декабря, 2019 Автор Share Опубликовано 19 декабря, 2019 Сделал и потерял все вкладки в браузере ) Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 декабря, 2019 Share Опубликовано 19 декабря, 2019 Что сейчас с первоначальной проблемой? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 19 декабря, 2019 Автор Share Опубликовано 19 декабря, 2019 Все пакостные папки на прежнем месте ) Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 декабря, 2019 Share Опубликовано 19 декабря, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 19 декабря, 2019 Автор Share Опубликовано 19 декабря, 2019 Проверил, отчет uvs прикрепил ODUK_2019-12-19_17-33-29_v4.1.8.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 декабря, 2019 Share Опубликовано 19 декабря, 2019 Общие ресурсы: D:\Users\Admin\Desktop\Scan D:\Soft C:\Users D:\Users\Admin\Desktop\ДШИ под паролем? Проверим другие уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
drivemesky 0 Опубликовано 20 декабря, 2019 Автор Share Опубликовано 20 декабря, 2019 Да, запаролены, но на диск С доступ я не открывал. Благодарю, прикрыл к нему доступ. SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 20 декабря, 2019 Share Опубликовано 20 декабря, 2019 ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4512486 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 ActiveX v.32.0.0.293 Внимание! Скачать обновления Adobe Acrobat Reader DC MUI v.18.011.20058 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- FlashPeak SlimBrowser 64bit v.11.0.7.0 Внимание! Скачать обновления Читайте Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 декабря, 2019 Share Опубликовано 21 декабря, 2019 После того, как закроете уязвимые места (ссылки из предыдущего сообщения), соберите свежий образ автозапуска uVS. AutorunsVTchecker уже запускать не нужно. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.