Перейти к содержанию

[РЕШЕНО] Вирусы на компе


Рекомендуемые сообщения

Привет. начал лагать комп, озу стало не хватать - видно в диспетчере. загрузился с флешки в KRD. он не может удалить найденные объекты.

CollectionLog-2022.01.24-15.43.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {46798CCF-B92C-4017-A761-7C491E3A7550} - System32\Tasks\Ghostery Update Task-S-1-5-21-2600418647-821951622-3311105745-1000 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\User\AppData\Local\Programs\Ghostery\5aa2d51f6a.msi" /quiet CHROME=1
    CHR Notifications: Default -> hxxps://100.usleallster.com; hxxps://22.usleallster.com; hxxps://51.usleallster.com; hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij
    2022-01-12 13:36 - 2022-01-24 16:09 - 000000000 ____D C:\ProgramData\RobotDemo
    2022-01-12 13:36 - 2022-01-24 16:09 - 000000000 ____D C:\Program Files (x86)\Transmission
    2022-01-03 18:31 - 2022-01-03 18:31 - 000004144 _____ C:\Windows\system32\Tasks\Ghostery Update Task-S-1-5-21-2600418647-821951622-3311105745-1000
    Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-2600418647-821951622-3311105745-1000\...\{5f52d487-169e-4731-a1f7-212a9784e258}) (Version: 1.0.0.0 - Ghostery) Hidden
    investigation regard 1.1.2.5 (HKLM-x32\...\{d6027dff-a0cf-4fa8-907f-d756e77aea02}) (Version: 1.1.2.5 - Sorrentino SPA Group) Hidden
    Move Hateco 1.4.5.81 (HKLM-x32\...\{0ae809f9-e96a-40c8-9426-cf49a0d014d8}) (Version: 1.4.5.81 - Aragón-Ávila SRL) Hidden
    FirewallRules: [{BE05C345-B71E-4C04-BD1E-92D91416FFEB}] => (Allow) LPort=80
    FirewallRules: [{CC7F9F71-8478-447B-9EE2-A5890E9D1B62}] => (Allow) LPort=443
    FirewallRules: [{FED1BFAC-6252-4065-B8A5-533C80D5C2D5}] => (Allow) LPort=20010
    FirewallRules: [{B57398DA-909D-4E47-807E-5B7C374BE206}] => (Allow) LPort=3478
    FirewallRules: [{42DC3D07-A11B-4405-A5CF-83579C1F5199}] => (Allow) LPort=7850
    FirewallRules: [{105D7552-EB20-401C-947E-8FA9DFBB3013}] => (Allow) LPort=7852
    FirewallRules: [{F21F9B4A-B54B-4B7E-86AE-26FB2CE3A768}] => (Allow) LPort=7853
    FirewallRules: [{EBB39DE3-F087-481B-AB8D-1BDE0E26B93D}] => (Allow) LPort=27022
    FirewallRules: [{91A4E82F-0B4F-457F-B87C-1C5C2327EC91}] => (Allow) LPort=6881
    FirewallRules: [{9441DF86-10C5-422A-9B4F-71CF58D4560F}] => (Allow) LPort=33333
    FirewallRules: [{DAFA4E2D-0F0C-4274-8C9E-2B0B6FDF4114}] => (Allow) LPort=20443
    FirewallRules: [{4DC68441-6825-4452-AC71-18A92FE6F657}] => (Allow) LPort=8090
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появится скрытая ранее

Цитата

 

Ghostery - Privacy Ad Blocker 1.0.0.0

investigation regard 1.1.2.5

Move Hateco 1.4.5.81

 


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты

Да:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

При запуске SecurityCheck , вышло окошко - нет подключения к интернету, продолжить поверку с локальными базами. инет есть. не знаю почему так. лог сделал.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Не страшно.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.1.9.1 v.4.1.9.1 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
 

 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Айдос
      От Айдос
      ПК домашний, для просмотора ютуба, игр со стима и учёбы, начал очень сильно тормозить, при загрузке и отключении, выходит надпись подождите, скорее всего заражен руткитами, вылетает с игр, память и цп бывают загружены очень сильно.
      Майнер RobotDemo.exe находится по адресу: C:\ProgramData\RobotDemo . Приходится его удалять при каждом запуске винды.
      Разрешённые угрозы каждый раз появляются снова. 
      Стоит служба удаленного рабочего стола не знаю как отключить.  
      Также в диспетчере задач Runtime broker и другие подозрительные по, после их снятия снова появляются, а некоторые невозможно снять, т.к. недостаточно прав.
      Ccleaner не может исправить ошибку реестера, скрин прилагается, возможно поможет в решении вопроса.
      Заранее благодарю за помощь.



      CollectionLog-2022.04.14-15.33.zip
    • KZMZ
      От KZMZ
      Зависает местами прошу проверить логи на подозрительное
      CollectionLog-2022.01.18-11.05.zip
    • Wooo
      От Wooo
      Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
      Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
      Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                               
       

      CollectionLog-2022.01.13-02.42.zip
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
    • Elly
      От Elly
      Друзья!
       
      «Лаборатория Касперского» - международная компания, которая ставит своей целью построить безопасный мир. Основная задача компании - обнаружить и нейтрализовать все виды киберугроз независимо от их цели или происхождения.

      Одним из видов киберугроз являются компьютерные вирусы, история развития которых насчитывает уже почти 40 лет.
      Мы предлагаем вашему вниманию викторину по истории создания компьютерных вирусов и масштабным эпидемиям, состоящую из 15 вопросов.
      Вся необходимая информация для успешного прохождения викторины может быть найдена в сети Интернет.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1200 баллов Две ошибки — 900 баллов Три ошибки —  600 баллов   
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 03.12.2021 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.
      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Elly (пользователей @andrew75 и @kmscom включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Ellyчерез систему личных сообщений.
      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      Желаем успехов всем участникам!
×
×
  • Создать...