Помогите с удалением, архив с логом во вложении
Подцепил WinmonProcessMonitor.sys
Помогите с удалением, архив с логом во вложении
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) posehn, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Я все сделал как в инструкции, жду ответ...
Последний раз редактировалось posehn; 25.07.2021 в 23:45.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windows host\windows host.exe'); TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ethm2305.exe'); TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe'); TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ml20201223.exe'); TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe'); TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ww31.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\users\den\appdata\local\temp\csrss\ethm2305.exe', ''); QuarantineFile('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe', ''); QuarantineFile('c:\users\den\appdata\local\temp\csrss\ml20201223.exe', ''); QuarantineFile('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe', ''); QuarantineFile('c:\users\den\appdata\local\temp\csrss\ww31.exe', ''); QuarantineFile('C:\Users\DEN\AppData\Roaming\sysinfotool\sitool.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); QuarantineFile('c:\windows\windefender.exe', ''); QuarantineFileF('c:\programdata\windows host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0); QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0); DeleteFile('C:\Games\Gothic_Lossless\system\GothicStarter.exe', '64'); DeleteFile('c:\programdata\windows host\windows host.exe', ''); DeleteFile('c:\users\den\appdata\local\temp\csrss\ethm2305.exe', ''); DeleteFile('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe', ''); DeleteFile('c:\users\den\appdata\local\temp\csrss\ml20201223.exe', ''); DeleteFile('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe', ''); DeleteFile('c:\users\den\appdata\local\temp\csrss\ww31.exe', ''); DeleteFile('C:\Users\DEN\AppData\Roaming\sysinfotool\sitool.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\rss\csrss.exe', '64'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '64'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64'); DeleteFile('c:\windows\windefender.exe', ''); DeleteFile('C:\Windows\windefender.exe', '64'); DeleteService('WinDefender'); DeleteService('Winmon'); DeleteService('WinmonFS'); DeleteService('WinmonProcessMonitor'); DeleteFileMask('c:\users\den\appdata\local\temp\csrss', '*', true); DeleteFileMask('C:\Users\DEN\AppData\Roaming\sysinfotool', '*', true); DeleteFileMask('c:\windows\rss', '*', true); DeleteDirectory('c:\users\den\appdata\local\temp\csrss'); DeleteDirectory('C:\Users\DEN\AppData\Roaming\sysinfotool'); DeleteDirectory('c:\windows\rss'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SummerWater', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SummerWater', '64'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SystemInfoTool'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\DEN\Links\Найти в Яндексе.lnk" -> ["C:\Users\DEN\AppData\Local\Yandex\yapin\YandexWorking.exe" =>> --from_links] >>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Touch\Uninstall.lnk" -> ["C:\Games\Touch\uninst.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Vivendi universal\SWAT3\Удалить 'SWAT 3'.lnk" -> ["C:\Games\SWAT3\unins000.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Деинсталлировать Office Tab.lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\unins000.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Office Tab Center 2013-16.lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\TabsforOfficeCenter1316.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Office Tab Center 2013-16(Admin).lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\TabsforOfficeCenter1316(Admin).exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Server.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Server.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Manager.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Manager.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Monitor.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Monitor.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic\Gothic.lnk" -> ["C:\Games\Gothic_Lossless\system\GothicStarter.exe"] >>> "C:\Users\DEN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gothic.lnk" -> ["C:\Games\Gothic_Lossless\system\GothicStarter.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic\Удалить игру.lnk" -> ["C:\Games\Gothic_Lossless\unins000.exe"] >>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Katawa Shoujo\Uninstall Katawa Shoujo.lnk" -> ["C:\Games\Katawa Shoujo\Uninstall Katawa Shoujo.exe"] >>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\ScreenShooter.lnk" -> ["C:\Program Files (x86)\ScreenShooter\ScreenShooter.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I.R.I.S. Applications\Readiris Pro 10\Registration Wizard.lnk" -> ["C:\Program Files (x86)\Readiris10\regri50.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 365.lnk" -> ["C:\Program Files\CyberLink\PowerDirector19\PDR.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Screen Recorder 4.lnk" -> ["C:\Program Files\CyberLink\ScreenRecorder4\ScreenRecorder.exe"]
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.Код:O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled) O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled) O21 - HKLM\..\ShellIconOverlayIdentifiers\ FSOverlayIcon: (no name) - {C0829D19-E5A0-44F5-B56E-D15030C53BB9} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
WBR,
Vadim
Архив карантина отправляется с ошибкой, якобы файл был уже прикреплен ранее. Выложу сюда
Последний раз редактировалось posehn; 26.07.2021 в 17:11.
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст. А если не пуст - тем более, не надо, там вирусы и Вы их на форуме в общий доступ выложите
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c deltmp delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\TEMP\CHROME_BITS_7048_29416944\1EF3B929E76A5DDF15C044DCC28686C70C100960E741ED2995981167B624E12F.CRXD delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBAR_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBAR_32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\92.0.4515.107\ELEVATION_SERVICE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X64\MICROSOFT.TEAMS.ADDINLOADER.DLL delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X86\MICROSOFT.TEAMS.ADDINLOADER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~3.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO 2021\WMENCODINGHELPER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\92.0.4515.107\NOTIFICATION_HELPER.EXE delref %SystemDrive%\PROGRAM FILES\CYBERLINK\SHARED FILES\RICHVIDEO64.EXE delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~2.DLL delref %SystemDrive%\PROGRAM FILES\CYBERLINK\SHARED FILES\RICHVIDEOPS64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~4.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\GOOGLEUPDATEONDEMAND.EXE delref %SystemDrive%\GAMES\COMMAND AND CONQUER - GENERALS\COMMAND AND CONQUER GENERALS\BROWSERENGINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\HOME MEDIA SERVER\TRANSCODERS\STREAMER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLETOOLBARNOTIFIER\5.12.11510.1228\SWG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\READIRIS10\READIRIS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~1.DLL delref D:\PROGRAM FILES\AUTODESK\3DS MAX 2016\AEC32BITAPPSERVER57.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref G:\HISUITEDOWNLOADER.EXE delref F:\AUTORUN.EXE apply restart
Компьютер перезагрузится.
Сообщите, что с проблемой.
WBR,
Vadim
Тогда укажите пожалуйста этот момент в тексте при добавлении архива с карантином, я это воспринял как временную ошибку и не знал как поступить.Сообщение от Vvvyg
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст. А если не пуст - тем более, не надо, там вирусы и Вы их на форуме в общий доступ выложите
Проблема решена?
WBR,
Vadim
Да, спасибо. Только я ещё KVRT применил. Не знаю, что именно мне помогло, но проблемы более нет
Т. к. карантин был пуст, видимо, KVRT сработал.
Уважаемый(ая) posehn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
