Перейти к содержанию

Рекомендуемые сообщения

Цитата

Вирусы пк немного тупит

Опишите подробней проблему. Кроме отключённого батника в автозагрузке ничего плохо не видно.

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Комп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\user.bat', '');
 DeleteFile('C:\Users\Комп\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\user.bat', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Комп^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^user.bat', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

+ OpenVPN - сами ставили?

Java 8 Update 151 [20200118]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180151F0}
Java 8 Update 221 [20190901]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180221F0}

Деинсталируйте Java и если она нужна, то скачайте и установите актуальную.

 

Голосовой помощник Алиса [20190729]-->MsiExec.exe /I{4D922459-6A2E-4E43-B7A1-86872A9078F3}
Кнопка "Яндекс" на панели задач [2020/02/25 19:35:01]-->C:\Users\Комп\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall
Элементы Яндекса 8.9 для Internet Explorer [20190601]-->MsiExec.exe /X{F5E5A5C8-479C-4D19-B5D8-175ADB1C80B9}

Если не используется, то советую деинсталировать.

 

 

 

 

 

Для повторной диагностики запустите снова AutoLogger.

 

 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

После выполненных указаний

15.10.2020 в 13:59, regist сказал:

Для повторной диагностики запустите снова AutoLogger

 

Ссылка на сообщение
Поделиться на другие сайты

CollectionLog-2020.10.21-11.09.zip

Касперским все проверял, он ничего не нашел.

Изменено пользователем grigoriiarsent
Ссылка на сообщение
Поделиться на другие сайты

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

spacer.png

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Программы

Цитата

Java 8 Update 151

Java 8 Update 221

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.9 для Internet Explorer

по-прежнему видны в перечне установленных программ. Удалите, а вместе с ними удалите

Цитата

Word 2007 shareware

Word 2013 shareware

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Все удалил кроме этих двух.

Word 2007 shareware

Word 2013 shareware

Их мне строго настрого запретили удалять.

Возможна ли дальнейшая чистка ?

ClearLNK-2020.10.21_12.17.13.log

 

Кстати вируса в базах АВ нет не только у Антивируса Касперского, пробовал даже другие.

Год точно сидит тут. Дом горит )

AdwCleaner[S01].txt

Изменено пользователем grigoriiarsent
Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, grigoriiarsent сказал:

строго настрого запретили удалять

Это странно, т.к. в системе установлен Microsoft Office профессиональный плюс 2013, в который входит компонент Word.

А указанные как раз могли стать причиной возникновения проблем.

 

Хорошо, продолжаем:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: F - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: G - G:\Setup.exe
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {23f70815-81f1-11e9-8f0c-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {23f70834-81f1-11e9-8f0c-001fd001d8dd} - F:\Setup.exe
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {2e57af6f-8698-11e9-905c-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {448a1670-cd5a-11e9-89ce-001fd001d8dd} - G:\Setup.exe
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {7226f22c-881b-11e9-9be6-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {769a8c4a-73c8-11e9-a32d-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {a257ccc9-6dc3-11e9-9be5-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {a257cce5-6dc3-11e9-9be5-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {e99e0d78-f258-11e9-93a8-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\...\MountPoints2: {eb7d32f2-6fc7-11e9-936a-001fd001d8dd} - "F:\Install Rostelecom Internet.exe"
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {4A32DD69-91E9-47D0-BC7A-155CF368F5BB} - System32\Tasks\{9F00152B-C8E5-4BDC-AE2A-092C3E7545E9} => C:\Windows\system32\pcalua.exe -a C:\Users\Комп\Downloads\Word_2007_Windows_7.exe -d C:\Users\Комп\Downloads
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/","hxxps://www.google.com/"
    C:\Users\Комп\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    CHR HKU\S-1-5-21-1353505200-2426452041-2954687852-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
    CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-1353505200-2426452041-2954687852-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    EmptyTemp:
    Reboot:
    End::
    
    

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, grigoriiarsent сказал:

Соседи подглядывают за мной информация 100%

Как вы это определяете?

Что из проблем сейчас осталось?

Ссылка на сообщение
Поделиться на другие сайты

Утечка персональных данных которая происходит до сих пор.

Этот компьютер единственное место откуда они могут сливатся.

 

Рабочий стол, кейлогинг, видео/звук при наличии аппаратуры.

Изменено пользователем grigoriiarsent
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Амир
      Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)
       
      К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав
      CollectionLog-2020.11.30-22.46.zip
    • От galik
      Не с того не с чего KIS вдруг выдал что у меня в системной памяти троян ,после лечения с перезагрузкой.Проверил с помощью AutoLogger-test.


      CollectionLog-2020.11.28-18.14.zip
    • От Александр Алексеев
      Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.
      CollectionLog-2020.11.26-18.11.zip
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
×
×
  • Создать...