Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте,

 

Знакома ли вам?

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)



HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - HKCU\..\Run: [AdopeUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O4-32 - HKLM\..\Run: [JavaUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O22 - Task (.job): (Not scheduled) {69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34}.job - C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5128FBE8-3139-414F-B75F-1B954C56AA81} - \{69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CBA33FE-4284-4166-8260-C454497F6C21} - \Microsoft LocalManager[c599c6ee-efe9-4133-9aab-7435685d54b7] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8B512BE-C54E-48A4-85DB-88C7D13F9A67} - \Microsoft LocalManager[7b7c15f9-747a-455f-9ba5-f521dde4252d] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)


 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1734145176-637486657-1783376301-1000\...\MountPoints2: {45127a22-bf5b-11eb-84b6-d050997b8634} - 华为手机助手安装向导.exe
    File: C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe
    File: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe
    Folder: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
    Folder: C:\ProgramData\{26409738-2640-2640-264097384645}
    Folder: C:\ProgramData\{73327183-7332-7332-733271837694}
    Folder: C:\ProgramData\{10300881-1030-1030-103008811873}
    Folder: C:\ProgramData\{26937804-2693-2693-269378040593}
    Folder: C:\ProgramData\{63659752-6365-6365-636597522421}
    Folder: C:\ProgramData\{02276950-0227-0227-022769507118}
    Folder: C:\ProgramData\{62922031-6292-6292-629220312271}
    Folder: C:\ProgramData\{82417856-8241-8241-824178566851}
    2022-03-10 12:17 - 2016-01-13 14:46 - 000000000 _____ C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
    CMD: type C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
    Folder: C:\ProgramData\{99308141-9930-9930-993081414012}
    Folder: C:\ProgramData\{09139200-0913-0913-091392005617}
    Folder: C:\MozillaFirefox
    Folder: C:\GoogleChrome
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    C:\MozillaFirefox
    C:\GoogleChrome
    C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
    C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
    C:\ProgramData\{26409738-2640-2640-264097384645}
    C:\ProgramData\{73327183-7332-7332-733271837694}
    C:\ProgramData\{10300881-1030-1030-103008811873}
    C:\ProgramData\{26937804-2693-2693-269378040593}
    C:\ProgramData\{63659752-6365-6365-636597522421}
    C:\ProgramData\{02276950-0227-0227-022769507118}
    C:\ProgramData\{62922031-6292-6292-629220312271}
    C:\ProgramData\{82417856-8241-8241-824178566851}
    C:\ProgramData\{99308141-9930-9930-993081414012}
    C:\ProgramData\{09139200-0913-0913-091392005617}
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','');
 QuarantineFile('D:\Photo.scr','');
 DeleteFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','32');
 DeleteFile('D:\Photo.scr','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • SigmaKlim
      От SigmaKlim
      Здравствуйте. При запуске инженерного ПО вылетала ошибка (см. картинку). Поиски решения привели меня к такому ответу:
      ***
      Короче говоря, все свелось к тому, что был запущен .bat файл из корневой папки ПО, который выдал в консоли сообщение:
      ****ASSERTION****: Unknown error occured iterating C:\Windows\Fonts\Mysql
      Прошерстил темы на форумах по данному вопросу, но везде понял, что подход индивидуальный. Помогите, пожалуйста. Вот мой лог.

    • Predator21
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
    • Айдос
      От Айдос
      ПК домашний, для просмотора ютуба, игр со стима и учёбы, начал очень сильно тормозить, при загрузке и отключении, выходит надпись подождите, скорее всего заражен руткитами, вылетает с игр, память и цп бывают загружены очень сильно.
      Майнер RobotDemo.exe находится по адресу: C:\ProgramData\RobotDemo . Приходится его удалять при каждом запуске винды.
      Разрешённые угрозы каждый раз появляются снова. 
      Стоит служба удаленного рабочего стола не знаю как отключить.  
      Также в диспетчере задач Runtime broker и другие подозрительные по, после их снятия снова появляются, а некоторые невозможно снять, т.к. недостаточно прав.
      Ccleaner не может исправить ошибку реестера, скрин прилагается, возможно поможет в решении вопроса.
      Заранее благодарю за помощь.



      CollectionLog-2022.04.14-15.33.zip
    • Амир_7
      От Амир_7
      Здравствуйте, несколько месяцев назад процессор начал загружаться на 20%, при открытии диспетчера задач нагрузка моментально пропадала. С помощью программы AnVir я выяснил, какой процесс нагружает систему(Точно не уверен, но он назывался "Notepad.exe"). Я попытался сам найти решение проблемы, но ничего не вышло. Однако процесс на протяжении месяца данный процесс не проявлял активности и я забыл про него. Но сегодня уже появился скрытый процесс с названием "calc.exe" и нагружал процессор на 25% в течении 30 минут и пока не проявляет активности. И теперь я не знаю, это тот же самый вирус, или их у меня теперь два.
      CollectionLog-2022.04.07-03.10.zip
    • Garansd
      От Garansd
      Возможно поймал майнера. При работе компьютер не шумит вообще, но после того как я завершаю сеанс по win+l и на экран выводится заставка с просьбой ввести пароль к windows, через какое-то время начинают шуметь кулеры, как будто что-то тяжелое запускается в системе. Посмотрите пожалуйста логи. 
      CollectionLog-2022.03.29-00.41.zip
×
×
  • Создать...