Перейти к содержанию

Вирус постоянно занимает свободное пространство, не дает запустить проверку kvrt и других антивирусов


Рекомендуемые сообщения

Вирус постоянно ест свободное место, программы для определения занятой памяти не помогают. при попытке установить total security, но сначала просто не давал, я сделала некоторые советы с этого же сайта по теме невозможности запустить проверку kvrt, он дал доступ к открытию установщика total security, но мне не хватает на него памяти. когда я пыталась сделать проверку здоровья ccleaner, он просто закрывался. кнопка запустить проверку в kvrt нажимается, но далее ничего не происходит

К слову, те скрипты, которые я выполняла по советам, почистили память, но ее опять начал занимать вирус

Логи ниже, через автологи мне не давали сделать 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Порядок оформления запроса о помощи

 

 

19 часов назад, unbelievable сказал:

через автологи мне не давали сделать 

Подробней, что значит не давали?

19 часов назад, unbelievable сказал:

я сделала некоторые советы с этого же сайта

выполнять скрипт написанные для других запрещено. Возможно всё усугубили.

 

Про Автологер просьба подробней поясните, что за проблемы у вас были.

 

и скачайте, распакуйте и запустите AV block remover.

После того как пролечитесь им соберите свежие логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, regist сказал:

Подробней, что значит не давали?

 

7 часов назад, regist сказал:

Про Автологер просьба подробней поясните, что за проблемы у вас были.

Как только я открыла программу и запустила ее, она сказала, что в данный момент запускается из папки Temp. Я нашла необходимую папку и удалила папки с данной программой. Тем не менее, как выяснилось, они появляются там сразу же после нажатия кнопки run. При попытках несколько раз начать программу папки там лишь копировались. Начать программу непосредственно из папок из Temp тоже не давали 

 

7 часов назад, regist сказал:

и скачайте, распакуйте и запустите AV block remover.

После того как пролечитесь им соберите свежие логи по правилам.

Браузер не дает скачать, говоря, что программа вирусная, плюс вылезает вот это. 

штука.jpg

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, unbelievable сказал:

Как только я открыла программу и запустила ее, она сказала, что в данный момент запускается из папки Temp

Сначала нужно извлечь из архива и только потом запустить.

 

5 часов назад, unbelievable сказал:

Браузер не дает скачать, говоря, что программа вирусная

Скачайте другим браузером, например, Internet Explorer. (Это ложное срабатывание).

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, unbelievable сказал:

Как только я открыла программу и запустила ее, она сказала, что в данный момент запускается из папки Temp. Я нашла необходимую папку и удалила папки с данной программой. Тем не менее, как выяснилось, они появляются там сразу же после нажатия кнопки run. При попытках несколько раз начать программу папки там лишь копировались. Начать программу непосредственно из папок из Temp тоже не давали 

Там же в том же сообщение, где было написано про Temp была просьба его распаковать. Следовали бы инструкциям в точности проблем не было бы.

10 часов назад, Sandor сказал:

Скачайте другим браузером, например, Internet Explorer. (Это ложное срабатывание).

Добавлю, что перед запуском этой утилиты так же как и Автологера антивирус надо отключать.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
23.02.2021 в 06:57, regist сказал:

Там же в том же сообщение, где было написано про Temp была просьба его распаковать. Следовали бы инструкциям в точности проблем не было бы.

 

22.02.2021 в 20:24, Sandor сказал:

Сначала нужно извлечь из архива и только потом запустить.

 

 

Спасибо и прошу прощения, теперь заработало. Логи сделаны после работы AVbr. 

CollectionLog-2021.03.06-16.33.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, Sandor сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{F44A3D38-48B0-421D-A16F-F1102E6EC22E}] => cmd.exe /C start /D "C:\Users\E784~1\AppData\Local\Temp" /B {F44A3D38-48B0-421D-A16F-F1102E6EC22E}.cmd
    HKU\S-1-5-21-379284587-2553106858-2479318165-1001\...\MountPoints2: {5eca6919-51d9-11eb-8f80-ac675dad8f94} - "E:\Setup.exe" 
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От puppy
      Поймал вирус. Вроде как и безобидный, т.к особой траты ресурсов системы я не наблюдал, просто насторожило сообщение Windows Defender. Решил покопаться. Порывшись понял, что вирус точно есть. Защитник виндовс якобы все удалил, но естественно не все так просто. Решил скачать уже знакомый и проверенный мне антивирус Касперского, но почему-то доступ был закрыт. Попробовал другие сайты и понял, что закрыт доступ на сайты почти всех антивирусов(Avast, dr.web, kaspersky, 360 и т.п). Прилагаю файл-репорт rkill. Файл hosts был скрыт. Зашел и удалил более 125 лупбэков(127.0.0.1) на разные форумы и сайты по антивирусам. Далее я зашел на сайт Касперского и скачал exe, но он просто не запускается, пол секунды загрузки и все. Тогда я скачал Dr.Web, он поставился. Сделал полный анализ системы и он нашел 27 ошибок и удалил. Но проблема не решилась. Дальше я запустил kaspersky virus removal tool. Сделал анализ, он нашел еще 3 вируса и удалил. Далее я исследовал систему с помощью него, отчет приложу. Теперь exe антивируса запускается, но пишет Неизвестная ошибка и все(составляя отчет о ошибке). Уже устал биться с вирусом, решил сюда написать.
      Я пробовал даже с помощью новой учетки зайти и там установить, та же песня.
      Кстати, когда я копался нашел, что вирусом была создана учетка john со всеми правами. Ее удалил
      Окажите посильную помощь пожалуйста!
      report.txt Rkill.txt CollectionLog-2021.04.12-11.23.zip
      Сейчас проверил, уже и отчеты об ошибке не составляет установщик Касперского...
    • От yasida
      Здравствуйте , не могу установить антивирусы, блокируются антивирусные сайты. Еще грузит память и процессор - процесс find.exe. AutoLogger не запускается выдает ошибку. контрольные точки восстановления  удалить не могу выдает ошибку.
       


      AV_block_remove.log AdwCleaner[C00].txt AdwCleaner[C01].txt AdwCleaner[S00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt FRST.txt Addition.txt

    • От Miqueza
      Добрый день!
       
      Помогите пожалуйста. Имена файлов сменились на это: "After Effects.lnk.secure[milleni5000@qq.com]".
       
      Как вернуть обратно?

      На диске С появился документ: "RESTORE_FILES_INFO"
       
      Содержит след. инфу:
       
      Your files are secured... Write to this email with your Key Identifier: milleni5000@qq.com Key Identifier: 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 Number of files that were processed is: 276600  
      Проверил AVZ:
       
      Протокол утилиты AVZ версии 5.50 Сканирование запущено в 17.03.2021 10:00:13 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.03.2021 04:00 Загружены микропрограммы эвристики: 404 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 1195561 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 10.0.19042, "Windows 10 Pro" (Windows 10 Pro) x64, дата инсталляции 15.11.2020 23:35:37 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 188 Количество загруженных модулей: 360 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\06ae21f6-6c91-479e-a6b5-1df8ab21d7f2.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\0889ba8a-1464-4db7-b1c8-51a1e6610981.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\19fed871-304c-4240-8236-db6ca170f75f.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\1a15d823-bef1-4e01-bf6b-3bbe016bce40.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f88d172-2a53-486f-985d-1c97a2c85445.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f90f84c-9fc5-47bd-a650-4e393cb36cc0.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\3c570bc6-e843-4dbb-8efc-4960ed125890.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\6ace7528-baf3-4c12-8eb5-59759d9db1c4.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7a055c71-3994-4f67-94b9-b5caa43c6134.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7f30e013-be7f-445a-a7c3-1240b3d64058.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\902eabf4-be69-412f-acfe-2f45ac43d9d4.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\90bf3e25-e7d0-41f2-96eb-37b7d640a183.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\a6c8469c-438d-4f69-94f5-5d4c10cf3d11.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\c1b6144e-36b1-438a-91ad-be50ede7f614.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\d0ce9301-561c-41f2-b86f-03314595abe2.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db02bd7a-8d71-4d18-9065-d3b2a69074cc.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db89599f-ec38-4afa-9c14-7c83eaf9d4cf.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e1034dcd-951f-4501-9d5a-ef873306bdbe.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e296bd3f-94dd-4963-8551-ca00e92c6a30.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\f9b5e172-855d-4ec1-ae1f-98a630b89652.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fa019844-6bde-43ff-bc8f-be33e6ed6464.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fcc1bbd4-db74-4ed0-afec-b2e3792e5c34.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> C:\Windows\aact_tools\aact.exe ЭПС: подозрение на Файл с подозрительным именем (CH) Проверка завершена 8. Поиск потенциальных уязвимостей >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помощнику >> Проводник - включить отображение расширений для файлов известных системе типов Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 104321, извлечено из архивов: 4283, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 17.03.2021 10:03:50 Сканирование длилось 00:03:38  
      До этого правда удалось cureit запустить, вот что он почистил: https://yadi.sk/i/Nvv8_HKkCFw-VQ (скриншот)
       
      Купил Касперский, он не запускает установщик.
       
      Прочитал и дополнительно высылаю еще файлы FRST: 
      Addition.txt FRST.txt Shortcut.txt
    • От gtva
      Добрый день, есть подозрение на то, что в систему попал майнер. Видео на ютубе начали зависать на несколько секунд, картинка в играх начала зависать на несколько секунд, а так же нестабильное интернет соединение. Использовал Dr.web cureit kvrt и аваст. Но после проделонного  не дает установить антивирусники касперского и anti marlwarebytes. 
      upd
      Так же добавило в файт hosts запрет на посещение большинства сайтов со скачиваниям антивируса, выключался диспетчер задач примерно минут через 5, после применения dr.web это исправилось
      CollectionLog-2021.03.13-11.28.zip
×
×
  • Создать...