Перейти к содержанию

Не удаляемые вирусы


Рекомендуемые сообщения

Здравствуйте!

 

11 минут назад, Came Bue сказал:

полетели трояны

Как это проявляется внешне?

 

В логах пока ничего подобного не замечено.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
4 hours ago, Sandor said:

Здравствуйте!

 

Как это проявляется внешне?

 

В логах пока ничего подобного не замечено.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Через каждые 3 минуты защитник виндовс спамит сообщения об угрозе, но не удаляет файлы которые показывает 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1190440757-158054799-2499581510-1001\...\MountPoints2: {2f92ad9d-1c9b-11ec-ac92-d85ed311c2e5} - "E:\HiSuiteDownLoader.exe" 
    Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    C:\ProgramData\Setup\update.exe
    Folder: C:\ProgramData\Setup
    AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
    AlternateDataStreams: C:\Users\Kirill\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Kirill\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6338]
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    EmptyTemp:
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\support\*.log"
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Что сейчас с проблемой?

 

Вижу, что был установлен, но давайте повторим сканирование для верности:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Сейчас перестал пинговать защитник,на диске C вроде как проверки больше ничего не видят но теперь при ручном сканировании стал видеть троян уже в диске D, по этому пути нету такой папки, даже с "показом скрытых папок" 

321321.png

Текстовый файл.txt

Ссылка на сообщение
Поделиться на другие сайты

Теперь не могу зайти в этот раздел )) 

image.thumb.png.ce231732ae2e05544f08fd779b8cd414.png

 

 

Это  Malwarebytes не давал открыть 

Удалил, повторил сканирование защитником 

Вот "Действие", если выбрать в карантин или удалить, ничего не происходит , оно не удаляет и не помещает в карантин, а троян так и висит ) 

image.thumb.png.f826ea581473d599f82e6de8cd562b56.png

Ссылка на сообщение
Поделиться на другие сайты

Отключите временно антивирус (Malwarebytes можно деинсталлировать).

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Уточнение - это не "троян" висит, а только упоминание о нём.

Ссылка на сообщение
Поделиться на другие сайты
  • Скрипт выполните в безопасном режиме.
  • Выделите следующий код:
    Start::
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\support\*.log"
    startpowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    set-mppreference -mapsreporting basic -Force
    set-mppreference -DisableRealtimeMonitoring $false -Force
    set-mppreference -DisablePrivacyMode $true -Force
    set-mppreference -DisableIOAVProtection $false -Force
    set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
    set-mppreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    get-mppreference
    endpowershell:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Anton70
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • Andreyuser
      От Andreyuser
      У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 
      При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".
      CollectionLog-2022.05.08-17.34.zip
      Сведения о системе.zip
    • loppener
      От loppener
      случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 
    • Predator21
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
    • autobriz
      От autobriz
      Здравствуйте.
       
      Пользуюсь Яндекс браузером. При входе на сайт stoloto.ru,  один раз обнаружилось вот это:
       
      Событие: Загрузка остановлена
      Пользователь: asus\A
      Тип пользователя: Активный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.Preqw.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      MD5: B250C91E8BA793C565004E1F8783E03C
      Причина: Экспертный анализ
      Дата выпуска баз: 25.04.2022 4:41:00
       
      Потом, постоянно стало выскакивать вот это:
       
      Событие: Переход остановлен
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://sonar.semantiqo.com/4e3ll/analize.js
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      Причина: Базы
      Дата выпуска баз: Сегодня, 27.04.2022 8:59:00
       
      Что за беда приключилась, чего делать-то...?
      На вирусы проверял, ничего не нашлось.
       
       
×
×
  • Создать...