Перейти к содержанию
Правила раздела

[РЕШЕНО] удалить хвосты вируса

Ютик

Автор Ютик
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Bomgar_Cleanup_ZD141257324543','x64');
 DeleteSchedulerTask('ESTsoft RunAsStdUser 4734536Task');
 DeleteSchedulerTask('{0FACDA35-3124-4D32-A0B4-9EA8C58B463D}');
 DeleteSchedulerTask('{33AE962C-2DD2-4273-BD50-909D4B3B70CB}');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis  

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1


 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ютик

Ютик

Опубликовано
  • Автор
Опубликовано

Спасибо. Что-то я не нахожу написанных вами строчек в HiJackThis?

 

С.Ш.jpg

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ютик

Ютик

Опубликовано
  • Автор
Опубликовано

Добрый вечер.

В утилите Farbar Recovery Scan Tool под окном Optional Scan отметить Driver MD5 возможности нет, в том расположении, где находится она в вашем screenshot значится - SigCheckExt!

Отметила только две: List BCD и 90 Days Files.

Я запустила один раз программу, но создано два файла FRST.txt и Addition.txt, поэтому прикрепляю оба.

Безымянный.jpg

Addition.txt FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:

HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: H - H:\setup.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {223e7ec4-fa95-11e2-89f9-806e6f6e6963} - E:\setup.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {3f43ace0-7a2c-11e6-b062-001e68e3e1bf} - H:\AutoRun.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {5873741b-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {58737433-28cb-11e3-b883-001e68e3e1bf} - H:\setup.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {6d1f17ce-e895-11e3-be69-001e68e3e1bf} - H:\setup.exe
HKU\S-1-5-21-4250758831-3274223239-3442596614-1000\...\MountPoints2: {8d7e10cc-8b3a-11e3-981d-001e68e3e1bf} - H:\setup.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {643A789A-FFD4-4655-AA3A-E6FFE4D1C807} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
2020-09-06 20:41 - 2020-09-07 21:47 - 000000000 ____D C:\Program Files\RDP Wrapper
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Norton
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\McAfee
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\grizzly
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\ESET
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\360safe
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\SpyHunter
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Malwarebytes
Unlock: C:\Program Files\Kaspersky Lab
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ESET
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\COMODO
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\Cezurity
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\ByteFence
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVG
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files\AVAST Software
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 __SHD C:\Program Files (x86)\360
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Windows\speechstracing
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\MB3Install
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Indus
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\Users\Все пользователи\Avira
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\MB3Install
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Indus
2020-09-06 20:40 - 2020-09-06 20:40 - 000000000 ____D C:\ProgramData\Avira
2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Windows
2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Windows
2020-09-06 20:39 - 2020-09-13 14:14 - 000000000 __SHD C:\ProgramData\Setup
2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-09-06 20:39 - 2020-09-07 19:56 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-09-06 20:39 - 2020-09-07 19:20 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\Users\Все пользователи\install
2020-09-06 20:39 - 2020-09-06 20:40 - 000000000 __SHD C:\ProgramData\install
2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 __SHD C:\ProgramData\RunDLL
2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\Users\Все пользователи\System32
2020-09-06 20:39 - 2020-09-06 20:39 - 000000000 ____D C:\ProgramData\System32
Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
Toolbar: HKU\S-1-5-21-4250758831-3274223239-3442596614-1000 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ютик

Ютик

Опубликовано
  • Автор
Опубликовано

Добрый вечер.

Благодарю!

Лог-файл прикрепляю.

Зип архив на рабочем столе не создан.

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

Выполните еще раз скрипт, но при сохранении текста скрипта, сохраните текстовой документ в кодировке Юникод.

Ютик

Ютик

Опубликовано
  • Автор
Опубликовано

А что не так? Не поняла ваш вопрос!

Скопировала ваш текст в блокнот.

В блокноте нажала файл - сохранить как, выбрала тип файла текстовые документы .txt, выбрала кодировку – Юникод.

Запустила утилиту.

Что конкретно сделано не так?

 

 

Поняла, про какую проблему написали!

Установила видимость скрытых папок, да, не «хороших» папок больше нет, "хвосты" бесследно исчезли! 

Огромное вам спасибо за помощь!

mike 1

mike 1

Опубликовано
Опубликовано

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...