Перейти к содержанию

Winmon.sys, winmonfs.sys и другие заразили мой ноутбук


Рекомендуемые сообщения

  • Ответов 47
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

Posted Images

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\USERS\ASUS.ASUS-ПК\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
delall %SystemDrive%\USERS\ASUS.ASUS-ПК\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
restart

Было выявлено следующее вредоносное ПО:
CLOUDNET.EXE -  HEUR:Trojan-Proxy.Win32.Glupteba.gen

 

В предыдущем карантине было найдено следующее вредоносное ПО:

CLOUDNET.EXE -  HEUR:Trojan-Proxy.Win32.Glupteba.gen

CSRSS.EXE -  UDS:DangerousObject.Multi.Generic

WINDEFENDER.EXE -  Trojan-Dropper.Win32.Agent.testss

WINMON.SYS -  Rootkit.Win64.Agent.avo

WINMONFS.SYS -  Rootkit.Win64.Agent.avn

WINMONPROCESSMONITOR.SYS -  Rootkit.Win64.Agent.ayv

WUP.EXE - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
Ссылка на сообщение
Поделиться на другие сайты

1)

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    Task: {0329452E-1360-4640-AEA6-78F1899FA25C} - \csrss -> No File <==== ATTENTION
    Task: {2B1FFF92-42EC-4920-9835-6942CCFC8200} - \ScheduledUpdate -> No File <==== ATTENTION
    Virustotal: C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS 
    Virustotal: C:\Program Files\dnplayerext2\LdBoxDrv.sys
    Folder: C:\Windows\rss
    Folder: C:\USERS\ASUS.ASUS-ПК\APPDATA\ROAMING\EPICNET INC
    Folder: C:\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS
    File: C:\Users\asus.asus-ПК\AppData\Roaming\changzhi_leidian.data
    Reboot:
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер будет перезагружен.

2) В AVZ  выполните следующее:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

3) Проверьте ваш ПК антивирусной утилитой KVRT.

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
    CreateRestorePoint:
    CloseProcesses:
    Folder: C:\USERS\ASUS.ASUS-ПК\APPDATA\ROAMING\EPICNET INC\CloudNet
    C:\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер возможно будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

     

    Start::
    C:\USERS\ASUS.ASUS-ПК\APPDATA\ROAMING\EPICNET INC
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер возможно будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...