Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Ask Toolbar Updater

MediaGet

NetShield Kit

VКDJ

Кнопка "Яндекс" на панели задач

 

Если чего-то не будет в списке, продолжайте.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] [File is in use] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\Run: [MediaGet2] => C:\Users\kassstet\MediaGet2\mediaget.exe --minimized
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: G - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {10a15c76-0ac7-11eb-b3ea-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93d1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93e1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d610-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d61f-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {c7d12988-b915-11e9-9c18-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {e154d42d-5efa-11e2-becc-c0810669ed63} - G:\AutoRun.exe
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {2203D6C4-B1BF-42E1-97E6-1263433214BA} - \Lyrmix Update -> No File <==== ATTENTION
    Task: {266F4B60-D4D8-4DE0-A6E2-1772CE2C2BFE} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
    Task: {49BACEA1-41CC-4F4F-9A42-FAFD08B5B4E9} - \ServiceCheck_26 -> No File <==== ATTENTION
    Task: {5C718721-93AC-434A-84AB-44948D8914A9} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
    Task: {6333F1CF-3479-4A17-A037-12D2EDC996A1} - \VKDJ -> No File <==== ATTENTION
    Task: {FCEFCE12-388F-4424-A2A8-F721F209709A} - \ServiceCheck_9 -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe <==== ATTENTION
    FF Extension: (Lyrmix) - C:\Program Files (x86)\Lyrmix\133.xpi [2013-09-16] [Legacy] [not signed]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    2021-02-12 14:46 - 2020-12-06 10:56 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{4e006cda-2785-48ab-880b-8a99c1fbcae4}) (Version: 1.3.30.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData\Temp:3ED99525 [232]
    AlternateDataStreams: C:\ProgramData\Temp:63238B95 [256]
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-2587981573-3630421545-1583559577-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Программу WinThruster ставили самостоятельно?

 

В перечне установленных должен появиться

Цитата

NetShield Kit 1.3.30.0

Удалите его.

Ссылка на сообщение
Поделиться на другие сайты

насчет WinThruster не помню, может быть я ставил,система не переустанавливалась около 7 лет.

Сразу после перезагрузки вылезло сообщение ,обнаружено Trojan.Multi.GenAutorunTaskFile

Fixlog.txt

 

Trojan.Multi.GenAutorunTaskFile вылечил антивирусом, перезагрузил комп и опять вылез win 64 miner

Ссылка на сообщение
Поделиться на другие сайты

@Batyrkhan, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

@Константин63, очистите все журналы и события антивируса, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Константин63 сказал:

насчет WinThruster не помню

Удалите, если не помните.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    Task: {0F01041D-794D-414A-982B-E88AC6B8B2EE} - System32\Tasks\WinThruster64-kassstet-Notification => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: {83AE1D05-AF65-4546-AD3A-3747292A0DF5} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    Task: {A6472A57-0769-4F92-AEA3-22CE9789C49C} - \ServiceCheck_11 -> No File <==== ATTENTION
    Task: {B8505564-8E5B-4FBD-BC42-8CEED0C0EEB7} - System32\Tasks\WinThruster64-kassstet-Startup => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    Task: {CC157978-8ACD-4815-93FD-01C11E652DF8} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Notification.job => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Startup.job => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    FF user.js: detected! => C:\Users\kassstet\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2013-09-16]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    CHR HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
    CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
    CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
    CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
    SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    FirewallRules: [{1FBA75B4-5BA4-4794-9C9C-77B139698975}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    FirewallRules: [{E026FD80-86F4-4C8B-A0EC-946137CC8F29}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Попробуем еще так проверить.

 

Запустите поиск FRST c параметрами SearchAll:Flock;Flock.* и прикрепите результат сканирования (Search.txt) к следующему посту. Инструкция

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Search.txt

 

удалил зараженный flock вместе с папкой программой iobit unlocker. После перезагрузки папка с файлом вернулась на свое место

 

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Константин63 сказал:

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Пока зловред в процессе изучения, очень уж он живуч.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Waffel
      Стало постоянно выскакивать диалоговое окно со следующим солержимым: Точка входа в процедуру Culaunchkernel_ptsz не найдена в библиотеке DLL
      C:/programData/WindowsTask/xmrig-cuda.dll
      Недавно случайно какой-то майнер установил, теперь постоянно виснет комп, window's defender его не видит, папка Windows Task видимо скрыта, не могу найти этот майнер. 
      Огромная просьба помогите удалить. 
      Прикрепил файлы этого майнера:
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них.
    • От Roys
      Помогите найти майнер на компьютере, ведь при заходе в любую игру сразу греется видеокарта, а при выходе на рабочий стол, температура сразу падает на 30 градусов
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Беседка".
    • От zhomovdv
      Добрый день!
      На виртуальной машине стали самопроизвольно меняться адреса DNS, большая нагрузка на процессор.
      Kaspersky Security 11 для Windows Server находит вредоносные объекты, которые после удаления появляются опять. (во вложении)
      Kaspersky Removal Tool ничего не нашёл.
      Файл протоколов во вложении.
      AK1205.txt CollectionLog-2021.05.12-09.59.zip
    • От Janei
      Здраствуйте. Недавно осознал, что на компьютере установлен майнер. 
      Пытался создать тему по правилам... Но проблема в том, что майнер не дает запустить два антивируса из предложенных. Они сразу закрываются. А также препятствует обновлению базы в AVZ. (для того чтобы собрать логи). Автологгер не получается использовать. Спешу заметить, что вирус закрывает AVZ сам после запуска программы. Собственно, почему понял что майнер. В моменте сёрфинга интернета картинка просто намертво замирает, очень сильно всё лагает до момента пока не открыть диспетчер задач. Картину которую вижу в стандартном диспетчере - загрузка ЦП 99% и через секунду 3%. Отсюда сделал некоторые выводы. Скачал два кастомных ДЗ. Process hacker 2 ( который майнер также распознал и успешно закрывался сам после открытия данного ДЗ) и system explorer. Последний и дал мне понять, что мой железный конь хапнул вируса. в процессах висел файл Microsofthost.exe который грузил 90% процессора. Также вирус сам закрывал оригинальный ДЗ через минуту буквально. Данный вирус прописался в папку windowstask. был скрытым системным файлом.  Обнаружил такую вещь: при попытке сделать видимыми системные файлы. После нажатия кнопки "применить" системные файлы не становятся видимыми навсегда. Как только окошко закрывается, вирус заново ставит галочку "скрывать системные файлы". 
      После остановки процесса удалил из папки все файлы.  (майнер запускал два процесса. один не загружал систему вообще.) Момент истины - Перезагрузка компьютера - ДЗ - майнер снова работает.
      Теперь о проблемах: 
      Антивирусы закрываются через секунду.
      АВЗ закрывается через секунду.
      Майнер закрывается при открытии некоторых ДЗ. 
      После удаления и перезагрузки - майнер восстанавливается. 
      Связано или нет - данный сайт опера гх не может открыть. зашел сюда только под впн. 
      на картинке два процесса из папки майнера.

      Прошу помощи. Логгер запустить не получается. 




    • От Redagan
      Добрый день! Скачал из неблагополучного ресурса архив, после этого постоянного держится нагрузка диска 100%. Файлы с майнером нашел в User/AppData/Local/Temp скрытые 2 папки и 1 папка в Windows.  Стандартное удаление не помогает, майнер постоянно переустанавливается. В диспетчере задач стоит процесс csrss.exe и u20200626.exe. Лечение через AVZ не помогает, в процессах HiJackThis они не отображаются. Прикрепляю логи.
      CollectionLog-2021.03.16-16.43.zip
×
×
  • Создать...