Перейти к содержанию

[РЕШЕНО] удалить хвосты вируса


Рекомендуемые сообщения

Добрый вечер.

Подозреваю, что в систему проник вирус и хочу удалить хвосты (созданные им скрытые папки и файлы) после заражения.

CollectionLog-2020.09.20-19.21.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 DeleteSchedulerTask('ESTsoft RunAsStdUser 4734536Task');
 DeleteSchedulerTask('{0FACDA35-3124-4D32-A0B4-9EA8C58B463D}');
 DeleteSchedulerTask('{33AE962C-2DD2-4273-BD50-909D4B3B70CB}');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1


 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер.

В утилите Farbar Recovery Scan Tool под окном Optional Scan отметить Driver MD5 возможности нет, в том расположении, где находится она в вашем screenshot значится - SigCheckExt!

Отметила только две: List BCD и 90 Days Files.

Я запустила один раз программу, но создано два файла FRST.txt и Addition.txt, поэтому прикрепляю оба.

Безымянный.jpg

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: H - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {223e7ec4-fa95-11e2-89f9-806e6f6e6963} - E:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {3f43ace0-7a2c-11e6-b062-001e68e3e1bf} - H:\AutoRun.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {5873741b-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {58737433-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {6d1f17ce-e895-11e3-be69-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {8d7e10cc-8b3a-11e3-981d-001e68e3e1bf} - H:\setup.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {643A789A-FFD4-4655-AA3A-E6FFE4D1C807} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
    2020-09-06 20:41 - 2020-09-07 21:47 - 000000000 ____D C:\Program Files\RDP Wrapper
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Norton
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\grizzly
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\360safe
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Norton
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\grizzly
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\360safe
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Malwarebytes
    Unlock: C:\Program Files\Kaspersky Lab
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\COMODO
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Cezurity
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ByteFence
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVG
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVG
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\360
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Windows\speechstracing
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\MB3Install
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Indus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Avira
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\MB3Install
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Indus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Avira
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Windows
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Setup
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Windows
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Setup
    2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\install
    2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\install
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\Users\Все пользователи\System32
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\ProgramData\System32
    Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Выполните еще раз скрипт, но при сохранении текста скрипта, сохраните текстовой документ в кодировке Юникод.

Ссылка на сообщение
Поделиться на другие сайты

А что не так? Не поняла ваш вопрос!

Скопировала ваш текст в блокнот.

В блокноте нажала файл - сохранить как, выбрала тип файла текстовые документы .txt, выбрала кодировку – Юникод.

Запустила утилиту.

Что конкретно сделано не так?

 

 

Поняла, про какую проблему написали!

Установила видимость скрытых папок, да, не «хороших» папок больше нет, "хвосты" бесследно исчезли! 

Огромное вам спасибо за помощь!

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...