Vitaly Tokarenko 0 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Добрый день! Использовал Kaspersky free.Режили проверить KVRT. Утилита обнаружила майнер. Удалила. После перезагрузки майнер появился на прежнем месте. Использовал загрузочный диск. Проверил, удалил. После перезагрузки файлы вернулись. Проверка Kaspersky free ничего не находит. Поставил пробный Total Security - ничего не нашёл. Проверил cureit и eset с CD - ничего не нашли. adwcleaner - ничего не обнаружил Подскажите, где может быть проблема? Решаема ли? dvrt-data.rar Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Здравствуйте,«Порядок оформления запроса о помощи». Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 17 апреля, 2020 Автор Share Опубликовано 17 апреля, 2020 Прилагаю файл отчёта avz CollectionLog-2020.04.17-18.07.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Удалите остатки от антивируса Avast утилитой Avast Remover. HiJackThis профиксить O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file) O22 - Task: PythonUpdate - C:\Python34\pythonw.exe C:\ProgramData\Temporary\sound.pyw -f https://pastebin.com/raw/6VeRQtVt (file missing) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\Temporary\sound.pyw',''); TerminateProcessByName('c:\windows\wmiprvsf.exe'); QuarantineFile('c:\windows\wmiprvsf.exe',''); DeleteFile('c:\windows\wmiprvsf.exe','32'); DeleteSchedulerTask('PythonUpdate'); DeleteFile('C:\ProgramData\Temporary\sound.pyw','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 17 апреля, 2020 Автор Share Опубликовано 17 апреля, 2020 Файлы отчёта FRST Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Закройте и сохраните все открытые приложения. Выделите следующий код:: Start:: CreateRestorePoint: CloseProcesses: File: C:\Windows\DAODx.exe File: C:\Windows\System\HsMgr64.exe File: C:\Windows\SysWOW64\HsMgr.exe Task: {1ABE424C-FD7A-441D-AE21-963761F3F88B} - \Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask -> No File <==== ATTENTION Toolbar: HKU\S-1-5-21-4221263581-88050684-563876530-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - No File FF Plugin-x32: @videolan.org/vlc,version=3.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File] FF Plugin-x32: @videolan.org/vlc,version=3.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File] FF Plugin-x32: @videolan.org/vlc,version=3.0.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File] FF Plugin-x32: @videolan.org/vlc,version=3.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File] FF Plugin-x32: @videolan.org/vlc,version=3.0.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [No File] File: C:\WINDOWS\System32\OpenSSH\sshd.exe S3 TermService; C:\WINDOWS\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL) S3 TermService; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL) File: C:\Users\vv_t\.mongorc.js CustomCLSID: HKU\S-1-5-21-4221263581-88050684-563876530-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146] AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [146] FirewallRules: [UDP Query User{A06575E4-A023-48E0-9EB1-86B16D4B6DD8}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File FirewallRules: [TCP Query User{B9994012-ADCF-4D1B-8096-6FDA74BA9F7C}C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2018.2.4\bin\pycharm64.exe No File FirewallRules: [{A8E42A35-2549-4FD9-B0A9-0FB22C9BD45D}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File FirewallRules: [{72D03B9D-5384-41C2-AEDD-938788F57D39}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe No File FirewallRules: [UDP Query User{DB3D3514-BA3F-4AA1-9363-EB6E30065313}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File FirewallRules: [TCP Query User{FDDC48C4-275D-4A3F-AB32-CE3222E6587D}C:\program files\tenable\nnm\nnm.exe] => (Allow) C:\program files\tenable\nnm\nnm.exe No File FirewallRules: [UDP Query User{B1DEDEF7-8373-4B82-8FD1-9798E3F5A442}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File FirewallRules: [TCP Query User{43B0CE30-A167-4206-958A-E7C10CED7B0C}C:\program files (x86)\nmap\nmap.exe] => (Allow) C:\program files (x86)\nmap\nmap.exe No File FirewallRules: [{AF805DFD-4C67-481E-9280-B67F34105D52}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File FirewallRules: [{6CE39BA8-8239-4B3A-8FDA-FC170654EF1D}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe No File FirewallRules: [UDP Query User{64887608-7E65-4201-86EF-D6FF6BB24590}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File FirewallRules: [TCP Query User{47DBEA98-6C68-4AB9-847E-4D4E72C882B3}C:\program files\java\jdk-9.0.4\bin\jmc.exe] => (Allow) C:\program files\java\jdk-9.0.4\bin\jmc.exe No File FirewallRules: [UDP Query User{F1F33C91-7BA6-4CC5-9CDF-D347AF4CEA21}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File FirewallRules: [TCP Query User{CCC11766-3EB0-4F1D-BE5B-1EF4413E5EBA}C:\program files\openshot video editor\launch.exe] => (Allow) C:\program files\openshot video editor\launch.exe No File FirewallRules: [UDP Query User{4BBB1B12-B79C-4588-8B7B-F31AECADB6E4}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File FirewallRules: [TCP Query User{9FD6DD47-F157-4542-A105-FE6C340EF4EA}D:\eclipse\eclipse.exe] => (Allow) D:\eclipse\eclipse.exe No File FirewallRules: [UDP Query User{D2ED27F7-E92B-4B33-8623-B42AC5A45C33}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File FirewallRules: [TCP Query User{3969679F-8104-4CC6-9001-A65080DB74E3}D:\xampp\apache\bin\httpd.exe] => (Allow) D:\xampp\apache\bin\httpd.exe No File FirewallRules: [UDP Query User{DBC5C5E6-FE74-4101-9B70-C21AE38C223B}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File FirewallRules: [TCP Query User{D3507FBB-2E4E-4EF9-AF8D-8595969044C7}D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe] => (Allow) D:\cloud@mail.ru\docs\3д печать\от производителя\alpha1\arduino_1.6.3(melzi)\java\bin\javaw.exe No File FirewallRules: [UDP Query User{F2861CC1-20A8-414E-A230-C831B278765E}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File FirewallRules: [TCP Query User{C8F5C590-4E5F-4F4C-BB29-5CE43042F4CE}C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\vv_t\appdata\roaming\utorrent\utorrent.exe No File FirewallRules: [TCP Query User{EACB87F5-8E0D-4E57-B3D6-732E4867C52D}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File FirewallRules: [UDP Query User{C7DE6DA6-C3B8-4E71-A597-E777F275053B}C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe] => (Allow) C:\program files (x86)\java\jdk1.8.0_112\bin\jmc.exe No File FirewallRules: [TCP Query User{27916522-B293-49E4-A702-AE71D78EA582}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File FirewallRules: [UDP Query User{DE525FAA-AFF1-4B7E-B303-F23A824B66DC}D:\xampp\mysql\bin\mysqld.exe] => (Allow) D:\xampp\mysql\bin\mysqld.exe No File FirewallRules: [TCP Query User{C4D553D0-EF15-422C-88B6-3EB6EC6CB99D}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File FirewallRules: [UDP Query User{974C8476-E8BC-4E3B-8E63-7C977BDB89F1}D:\xampp\filezillaftp\filezillaserver.exe] => (Allow) D:\xampp\filezillaftp\filezillaserver.exe No File FirewallRules: [TCP Query User{C71ACDBC-CBF3-4A2E-AD33-287D6B311357}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File FirewallRules: [UDP Query User{617956AC-2C63-47AC-923A-D0B47DA72961}D:\xampp\mercurymail\mercury.exe] => (Allow) D:\xampp\mercurymail\mercury.exe No File FirewallRules: [{E95A054C-8D72-4FD8-AE77-DD2C2123B12B}] => (Allow) C:\Users\vv_t\AppData\Roaming\Zoom\bin\airhost.exe No File FirewallRules: [{5A805496-23A7-422F-B597-151C154A0108}] => (Allow) C:\WINDOWS\ehome\MediaCenter\wmserver.exe No File FirewallRules: [{744328C4-1E92-4FA4-A728-EB195F14EB3D}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File FirewallRules: [TCP Query User{699B6735-22DD-4A6C-B463-91895DDE7727}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File FirewallRules: [UDP Query User{59EE9DBA-A187-457A-B5F8-BE4F5CBA8C43}I:\sam19\sdi64-drv.exe] => (Allow) I:\sam19\sdi64-drv.exe No File FirewallRules: [{BC9297F9-7C5C-4096-8034-FE40CC7AFAF4}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File FirewallRules: [TCP Query User{D88DC126-6BB7-45C3-B0CC-550B39441485}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File FirewallRules: [UDP Query User{8FA1985A-E051-44DA-812A-562F59E9ACB4}D:\downloads\aa_v3 (1).exe] => (Allow) D:\downloads\aa_v3 (1).exe No File FirewallRules: [{F4233E25-1F51-4F61-88DB-F9CA80B454CE}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File FirewallRules: [{8C764644-187F-495C-BBE0-CE1D89DFDAC7}] => (Allow) C:\Users\vv_t\AppData\Local\Temp\DriverPack-20200329124728\tools\aria2c.exe No File FirewallRules: [{97DE79B7-9401-485C-B01A-CCD2D3E8219A}] => (Allow) C:\Users\vv_t\AppData\Roaming\DRPSu\Alice\cloud.exe No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST/FRST64 (от имени администратора). Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 17 апреля, 2020 Автор Share Опубликовано 17 апреля, 2020 Результаты FRST Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 апреля, 2020 Share Опубликовано 17 апреля, 2020 Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 18 апреля, 2020 Автор Share Опубликовано 18 апреля, 2020 Добавились ещё два файла в system32. Остальное по прежнему. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 апреля, 2020 Share Опубликовано 18 апреля, 2020 - Покажите лог TDSSKillerФайл C:\TDSSKiller.***_log.txt приложите в теме.(где *** - версия программы, дата и время запуска.)P.S. При нахожение каких-то угроз, самостоятельно не удаляйте Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 18 апреля, 2020 Автор Share Опубликовано 18 апреля, 2020 (изменено) К сожалению прочитал уже позже и удалил при помощи KVRT эти зловреды. Перезагрузил систему. Проверяю ещё раз. Вдруг уже не восстановятся. Результат сообщу. Изменено 18 апреля, 2020 пользователем Vitaly Tokarenko Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 18 апреля, 2020 Автор Share Опубликовано 18 апреля, 2020 Послу удаления при помощи kvrt фиксируется только avz овская утилита. TDSSKiller.3.1.0.28_18.04.2020_10.17.09_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 апреля, 2020 Share Опубликовано 18 апреля, 2020 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Послу удаления при помощи kvrt фиксируется только avz овская утилита. Для исправления выполните следующее в AVZ:"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. Цитата Ссылка на сообщение Поделиться на другие сайты
Vitaly Tokarenko 0 Опубликовано 21 апреля, 2020 Автор Share Опубликовано 21 апреля, 2020 Всё удачно. Повторные проверки проблем не выявили. Не зря я многим организациям именно Касперского рекомендовал.Теперь наверное пора и самому приобрести домой. Не скажу за прочие модули, но модуль белых/чёогых списков программ это просто чудо из чудес! Только за это стоит обожать бизнес версию антивируса Касперского! Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 21 апреля, 2020 Share Опубликовано 21 апреля, 2020 Послу удаления при помощи kvrt фиксируется только avz овская утилита. Для исправления выполните следующее AVZ: "Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.