Перейти к содержанию
Правила раздела

[РЕШЕНО] Заражен компьютер, не запускается KVRT.

Peter15

Автор Peter15
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Peter15

Peter15

Опубликовано
Опубликовано (изменено)

Сейчас собираю логи по рекомендации форума Drweb, т. к. их сканер работает. Можно ли здесь выложить лог сканера после проверки, чтобы понять, был ли перехватчик паролей?

UP.  Вот, можно посмотреть?

sc1.JPG

sc2.JPG

cureit.zip

Изменено пользователем Peter15
Добавил скрины и архив
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 31
  • Создана
  • Последний ответ

Топ авторов темы

  • Peter15

    15

  • Sandor

    8

  • regist

    8

  • mike 1

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

regist
regist

С восстановлением могли спросить в соседнем разделе, может помогли бы починить. Но раз вам так было проще, то зачем заставлять нас тратить время на лечение... А кто сказал, что все эти дыры свя

Изображения в теме

Peter15

Peter15

Опубликовано
  • Автор
Опубликовано (изменено)

Для восстановления работы KVRT проделал

Цитата
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
C:\Recovery

C:\KVRT_Data
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). 

Это -- универсальное действие для восстановления работы KVRT? Что-то ещё нужно было делать?

Fixlog.txt

Изменено пользователем Peter15
Добавил отчёт
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
26 минут назад, Peter15 сказал:

Это -- универсальное действие для восстановления работы KVRT?

Нет, не универсальное.

Соберите логи по правилам. Соберите отчёты этой версией Автологера, если обычный не запускается.

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Соберите логи по правилам.

Попробую дождаться сначала ответа от Drweb. А можно посмотреть (по скринам, или по логу), был ли перехватчик паролей?

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано
2 часа назад, Peter15 сказал:

посмотреть (по скринам, или по логу), был ли перехватчик паролей?

Да, опредённо был.

2 часа назад, Peter15 сказал:

Попробую дождаться сначала ответа от Drweb.

Хорошо, только потом продолжать в одном месте, как понимаю вы выбрали форум др. Веба https://forum.drweb.com/index.php?showtopic=333790

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis: 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано (изменено)
43 минуты назад, Sandor сказал:

"Пофиксите" в HijackThis:

Тогда предупредите меня, если при последующих действиях будет удаление вредоносных программ, которые раньше, возможно, не выявлены? Хотелось бы их отправить потом в их лабораторию для добавления в базы.

Addition.txt FRST.txt

Изменено пользователем Peter15
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
Folder: C:\ProgramData\Windows
Folder: C:\ProgramData\Setup
Folder: C:\ProgramData\install
Folder: C:\ProgramData\WindowsTask
Folder: C:\ProgramData\RealtekHD
Folder: C:\Windows\speechstracing
2020-09-20 20:25 C:\AdwCleaner
2020-09-20 20:26 C:\Program Files\AVAST Software
2020-09-20 20:26 C:\Program Files\AVG
2020-09-20 20:25 C:\Program Files\ByteFence
2020-09-20 20:26 C:\Program Files\Cezurity
2020-09-20 20:26 C:\Program Files\COMODO
2020-09-20 20:26 C:\Program Files\Enigma Software Group
2020-09-20 20:26 C:\Program Files\ESET
2020-09-20 20:26 C:\Program Files\Kaspersky Lab
2020-09-20 20:26 C:\Program Files\Malwarebytes
2020-09-20 20:26 C:\Program Files\SpyHunter
2020-09-20 20:26 C:\Program Files\Common Files\McAfee
2020-09-20 20:26 C:\ProgramData\360safe
2020-09-20 20:26 C:\ProgramData\AVAST Software
2020-09-20 20:26 C:\ProgramData\Avira
2020-09-23 11:43 C:\ProgramData\Doctor Web
2020-09-20 20:26 C:\ProgramData\ESET
2020-09-20 20:26 C:\ProgramData\grizzly
2020-09-20 20:25 C:\ProgramData\Indus
2020-09-20 20:26 C:\ProgramData\Kaspersky Lab
2020-09-20 20:26 C:\ProgramData\Kaspersky Lab Setup Files
2020-09-20 20:25 C:\ProgramData\Malwarebytes
2020-09-20 20:25 C:\ProgramData\MB3Install
2020-09-20 20:26 C:\ProgramData\McAfee
2020-09-20 20:26 C:\ProgramData\Norton
EmptyTemp:
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

- выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\install.vbs', '');
 QuarantineFile('C:\ProgramData\Windows\vp8decoder.dll', '');
 QuarantineFile('C:\ProgramData\Windows\vp8encoder.dll', '');
 QuarantineFile('C:\ProgramData\install\del.bat', '');
 QuarantineFile('C:\ProgramData\install\cheat.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\OpenCL.DLL', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(false);
end.

- Файл quarantine.zip из папки AVZ загрузите на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание пришлите мне в ЛС.

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
4 минуты назад, regist сказал:

QuarantineFile('C:\ProgramData\Windows\install.vbs', '');  QuarantineFile('C:\ProgramData\Windows\vp8decoder.dll', '');  QuarantineFile('C:\ProgramData\Windows\vp8encoder.dll', '');  QuarantineFile('C:\ProgramData\install\del.bat', '');  QuarantineFile('C:\ProgramData\install\cheat.exe', '');  QuarantineFile('C:\ProgramData\WindowsTask\OpenCL.DLL', '');

Это -- подозрительные файлы, которые вы хотите выслать на анализ?

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

1) Включите восстановление системы и создайте точку восстановления.

 

2)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    CreateRestorePoint:
C:\ProgramData\Windows
C:\ProgramData\Setup
C:\ProgramData\install
C:\ProgramData\WindowsTask
C:\ProgramData\RealtekHD
C:\Windows\speechstracing
EmptyTemp:
Reboot:

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано (изменено)

Систему восстановления не удаётся включить, похоже на ту же ошибку, что в прошлой теме (с другого пк). Брат где-то умудряется второй раз подхватить такую заразу. 

(Ума не приложу, где).

36 минут назад, regist сказал:

Запустите FRST (FRST64) от имени администратора.

Успел удалить по ошибке эту утиль. Теперь как, заново сканировать?

Снимок.JPG

Изменено пользователем Peter15
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • XOMA302
      Не запускается Kaspersky
      Автор XOMA302
      Привет я сделал все что было указанно в Порядке оформления запроса о помощи CollectionLog-2025.07.30-19.49.zip вот логи что просили прикрепить, помогите люди
    • XOMA302
      Не устанавливается или не запускается Kaspersky
      Автор XOMA302
      я не знаю что вам прикрепить просто читал что вы помогали другим пользователям. Я не хочу просто винду сносить вот и пишу на форум помогите люди(
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...