Перейти к содержанию

[РЕШЕНО] удалить хвосты вируса


Рекомендуемые сообщения

Добрый вечер.

Подозреваю, что в систему проник вирус и хочу удалить хвосты (созданные им скрытые папки и файлы) после заражения.

CollectionLog-2020.09.20-19.21.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 DeleteSchedulerTask('ESTsoft RunAsStdUser 4734536Task');
 DeleteSchedulerTask('{0FACDA35-3124-4D32-A0B4-9EA8C58B463D}');
 DeleteSchedulerTask('{33AE962C-2DD2-4273-BD50-909D4B3B70CB}');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1


 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер.

В утилите Farbar Recovery Scan Tool под окном Optional Scan отметить Driver MD5 возможности нет, в том расположении, где находится она в вашем screenshot значится - SigCheckExt!

Отметила только две: List BCD и 90 Days Files.

Я запустила один раз программу, но создано два файла FRST.txt и Addition.txt, поэтому прикрепляю оба.

Безымянный.jpg

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: H - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {223e7ec4-fa95-11e2-89f9-806e6f6e6963} - E:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {3f43ace0-7a2c-11e6-b062-001e68e3e1bf} - H:\AutoRun.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {5873741b-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {58737433-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {6d1f17ce-e895-11e3-be69-001e68e3e1bf} - H:\setup.exe
    HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {8d7e10cc-8b3a-11e3-981d-001e68e3e1bf} - H:\setup.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {643A789A-FFD4-4655-AA3A-E6FFE4D1C807} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
    2020-09-06 20:41 - 2020-09-07 21:47 - 000000000 ____D C:\Program Files\RDP Wrapper
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Norton
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\grizzly
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\360safe
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Norton
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\grizzly
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\360safe
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Malwarebytes
    Unlock: C:\Program Files\Kaspersky Lab
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ESET
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\COMODO
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Cezurity
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ByteFence
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVG
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVG
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\360
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Windows\speechstracing
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\MB3Install
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Indus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Avira
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\MB3Install
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Indus
    2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Avira
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Windows
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Setup
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Windows
    2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Setup
    2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\install
    2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\install
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\Users\Все пользователи\System32
    2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\ProgramData\System32
    Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
    Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

А что не так? Не поняла ваш вопрос!

Скопировала ваш текст в блокнот.

В блокноте нажала файл - сохранить как, выбрала тип файла текстовые документы .txt, выбрала кодировку – Юникод.

Запустила утилиту.

Что конкретно сделано не так?

 

 

Поняла, про какую проблему написали!

Установила видимость скрытых папок, да, не «хороших» папок больше нет, "хвосты" бесследно исчезли! 

Огромное вам спасибо за помощь!

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От nikvoskanyan
      здравствуйте, плохо работал и выключался компьютер, процентов на 30 больше обычного была нагружена оперативная память, антивирусные сайты не запускались. Смог скачать kvrt, но кнопка проверки не нажималась, получилось запустить cureit, выполнить проверку и удалить троян. Оперативная память больше не нагружена, сайты запускаются, но kvrt и другие продукты касперского все еще не работают. 
      CollectionLog-2020.11.25-14.36.zip
    • От mirror1
      Доброго дня.
      Сорян , если тему скинул не в тот раздел , не шарю в этом
      В общем , есть файлы : 1.exe , 2.exe - это своего рода приватный софт  , скинутый мне на проверку, перед покупкой(он писался не лично для меня. Распространяется узкому кругу лиц по знакомству)
      закинул я их значит на VT и вижу это :
      Это 1.exe - https://prnt.sc/vnrbh7
      Это 2.exe - https://prnt.sc/vnrb4x

      Теперь сомневаюсь в покупке, может кто-то объяснить что там?
      Я в этом 0
       
      Сообщение от модератора kmscom Тема перенесена из раздела Помощь в удалении вирусов  
    • От nikita_shs
      Здравствуйте, не устанавливается антивирус, судя по диспетчеру задач он после открытия сразу закрывается, нашел в файле хост заблокированные сайт антивирусов и форумов, все почистил, доктором вебом удалил вирусы но касперский все равно не устанавливается, также в стандартном антивирусе виндовс в исключении находится 3 папки, которые никак не удаляются от туда 
      Прикладываю логи
       
      CollectionLog-2020.11.23-19.55.zip
×
×
  • Создать...