MasterAmodei 0 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 Через планшет скачал Dr. Web Cureit, с отключённым интернетом провел проверку нашел вирусы, затем еще раз со включенным нашел майнер. Проблема в том что вредоносное ПО не удалилось полностью, не могу установить Malwarebytes. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 Здравствуйте! Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
MasterAmodei 0 Опубликовано 19 октября, 2020 Автор Share Опубликовано 19 октября, 2020 CollectionLog-2020.10.19-13.45.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 3, true); ExecuteSysClean; end; begin AV_block_remove; RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'maste', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'maste', '64'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
MasterAmodei 0 Опубликовано 19 октября, 2020 Автор Share Опубликовано 19 октября, 2020 Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-2742635782-1142214708-3730705081-1001\...\Policies\Explorer: [DisallowRun] 1 GroupPolicy: Restriction ? <==== ATTENTION CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WsDhs-QkvUAlSl_zhO9N6wjkugwZ50qQd63f37IEYHlADv6xH-RkEl1wms9zJx1OBc7oAkJhgvzyVrycsDyS3ZfxhqEkDatyKncxGOMcoTdURLvpgAh3UGaQiC2KUM7UPk55uHhjVyKPavlMJYDO57fpjR9gzc4, S3 4581F52499299014; \??\C:\Users\maste\AppData\Local\Temp\43A85BDA-EA5EF03-21EDF6D-314B2DA4\1b53c540.sys [X] <==== ATTENTION 2020-10-19 13:59 - 2019-05-11 21:06 - 000000000 __SHD C:\ProgramData\Doctor Web ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488] FirewallRules: [{64073306-03C3-41AD-B013-FCA5F4C19168}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
MasterAmodei 0 Опубликовано 19 октября, 2020 Автор Share Опубликовано 19 октября, 2020 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 Проблема решена? Ссылка на сообщение Поделиться на другие сайты
MasterAmodei 0 Опубликовано 19 октября, 2020 Автор Share Опубликовано 19 октября, 2020 Да, большое спасибо! Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
MasterAmodei 0 Опубликовано 19 октября, 2020 Автор Share Опубликовано 19 октября, 2020 SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 19 октября, 2020 Share Опубликовано 19 октября, 2020 --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Oracle VM VirtualBox 6.1.10 v.6.1.10 Внимание! Скачать обновления NVIDIA GeForce Experience 3.20.2.34 v.3.20.2.34 Внимание! Скачать обновления Microsoft OneDrive v.20.114.0607.0002 Внимание! Скачать обновления FastStone Image Viewer 6.2 v.6.2 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 201 (64-bit) v.8.0.2010.9 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^ Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^ Java SE Development Kit 8 Update 201 (64-bit) v.8.0.2010.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15_windows-x64_bin.exe). Установите антивирус. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 20 октября, 2020 Share Опубликовано 20 октября, 2020 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения