Время от времени появляются черные окна и неведомые ошибки с названиями рекламных сайтов. На экспресс проверке обнаружилось парочка вредных файлов. Будьте добры составить скрипт на устранение. П.С. программу KGB(MPK) оставить:)
Printable View
Время от времени появляются черные окна и неведомые ошибки с названиями рекламных сайтов. На экспресс проверке обнаружилось парочка вредных файлов. Будьте добры составить скрипт на устранение. П.С. программу KGB(MPK) оставить:)
Уважаемый(ая) [B]sanya55 1599865145[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ExecuteFile('schtasks.exe', '/delete /TN "рн" /F', 0, 15000, true);
QuarantineFile('C:\Users\рн\appdata\roaming\nscpucnminer\nscpucnminer64.exe','');
QuarantineFile('C:\autorun.inf','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','рн');
DeleteFile('C:\autorun.inf','32');
DeleteFile('C:\Users\рн\appdata\roaming\nscpucnminer\nscpucnminer64.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
новые логи
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
FRST
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellExecuteHooks-x32: No Name - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - -> No File
ShellExecuteHooks: No Name - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - -> No File
Startup: C:\Users\рн\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CNminer.lnk [2016-04-21]
ShortcutTarget: CNminer.lnk -> C:\Users\рн\AppData\Roaming\NsCpuCNMiner\CNminer.exe (No File)
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Toolbar: HKU\S-1-5-21-2859426368-3094638246-1321788030-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Task: {2E33E788-6E5B-412B-AF0D-F35B8DC645B2} - \jooringnetmersm -> No File <==== ATTENTION
C:\Users\рн\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk
C:\Users\рн\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Интернет.lnk
AlternateDataStreams: C:\Users\рн\Local Settings:init [4943868]
AlternateDataStreams: C:\Users\рн\AppData\Local:init [4943868]
AlternateDataStreams: C:\Users\рн\AppData\Local\Application Data:init [4943868]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\kgb\mpk.dll - [B]not-a-virus:Monitor.Win32.KGBSpy.cg[/B][*] c:\program files (x86)\kgb\mpk.exe - [B]not-a-virus:Monitor.Win32.KGBSpy.do[/B] ( DrWEB: Win32.HLLW.MyBot.8386, BitDefender: GenPack:Backdoor.Rbot.YEF )[*] c:\program files (x86)\kgb\mpk64.exe - [B]not-a-virus:Monitor.Win32.KGBSpy.d[/B][*] c:\users\рн\appdata\roaming\nscpucnminer\nscpucnminer64.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.sx[/B] ( DrWEB: Tool.BtcMine.431, BitDefender: Application.Bitcoinminer.HH )[*] c:\windows\kmsem\kmservice.exe - [B]not-a-virus:RiskTool.Win32.HackKMS.c[/B][/LIST][/LIST]