Printable View
В общем, скачал Фотошоп PS 6,система стала нагружаться и в диспетчере задач много процессов svchost,антивирусные сайты не открывались.Снёс фотошоп,пофиксил файл hosts,скачал dr.web cureit.Проверил им, выявилось вроде бы два вируса.Также проверял AVZ.Скачал KVRT-кнопка проверки нажимается,но ничего не происходит.Anti-malvare выдает ошибку.Прикрепляю результаты проверки.
Уважаемый(ая) [B]rkt[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Перетащил лог ,сканировал .Работу прикрепляю.
Строки пофиксил и перезагрузил ПК.
Также прикрепляю отчеты FRST & Addition.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
SystemRestore: On
CreateRestorePoint:
Edge Notifications: Default -> hxxps://download-alert.com; hxxps://flake.creditcable.info; hxxps://l1progsru15968073582350.thevtk.com; hxxps://naidem-vse.ucoz.net; hxxps://samp-rp.su; hxxps://vexfile.com
S0 0084B56D; system32\drivers\0084B56D.sys [X]
S1 gvrotdhx; \??\C:\WINDOWS\system32\drivers\gvrotdhx.sys [X]
2020-10-25 14:52 - 2020-10-25 14:52 - 000000000 ____D C:\Program Files\trend micro
2020-10-10 16:49 - 2020-10-16 15:55 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-10-10 16:49 - 2020-10-10 16:49 - 000000000 __SHD C:\rdp
2020-10-10 16:49 - 2020-10-10 16:49 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-10-10 16:48 - 2020-10-25 14:36 - 000000000 __SHD C:\KVRT_Data
2020-10-10 16:48 - 2020-10-25 14:33 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-10-10 16:48 - 2020-10-16 16:59 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-10-10 16:48 - 2020-10-16 16:59 - 000000000 __SHD C:\ProgramData\install
2020-10-10 16:48 - 2020-10-16 15:44 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-10-10 16:48 - 2020-10-15 23:18 - 000000000 __SHD C:\ProgramData\Windows
2020-10-10 16:48 - 2020-10-15 23:18 - 000000000 __SHD C:\Users\Все пользователи\Windows
2020-10-10 16:48 - 2020-10-10 17:01 - 000000000 __SHD C:\ProgramData\Setup
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\RunDLL
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\Norton
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\McAfee
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\grizzly
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\ESET
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\SpyHunter
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\ESET
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\COMODO
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\Cezurity
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\ByteFence
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\AVG
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files\AVAST Software
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 __SHD C:\AdwCleaner
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\WINDOWS\speechstracing
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\ProgramData\System32
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\ProgramData\MB3Install
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\ProgramData\Indus
2020-10-10 16:48 - 2020-10-10 16:48 - 000000000 ____D C:\ProgramData\Avira
2020-08-18 06:24 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
CMD: net user john /DELETE
Unlock: C:\Program Files (x86)\360
Unlock: C:\ProgramData\360safe
CMD: attrib -R -S -H /D "C:\Program Files (x86)\360"
CMD: attrib -R -S -H /D "C:\ProgramData\360safe"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: wmic path Win32_QuickFixEngineering get HotFixId
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
KVRT заработал, найдя два файла .bat и .reg,которые не найти ,у них присвоен атрибут скрытый. Удалил. У меня подозрение на Trojan.PWS.Siggen2.35882,ибо скрыты некоторые папки и затронуты несколько из перечисленных файлов в списке что вирус изменяет. Информация бралась с dr.web. Я не силен в этом, не знаю что делать. Может это вовсе другой троян или его вообще нет в системе. По поводу malwarebutes-выдает ошибку при непосредственной установке, но раньше вообще нельзя было установить.
Сделайте новый лог Farbar Recovery Scan Tool, кроме уже установленных, отметьте галочкой также "90 Days Files".
cделал
FRST.txt пустой. Отключите антивирус и переделайте.
готово
Отключите временно антивирус.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
SystemRestore: On
2020-10-25 23:49 - 2020-10-26 14:12 - 000153312 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
2020-10-25 23:49 - 2020-10-25 23:49 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-10-25 23:48 - 2020-10-25 23:48 - 000000000 ____D C:\Program Files\Malwarebytes
Unlock: C:\ProgramData\Windows
CMD: rd /S /Q "C:\ProgramData\Windows"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\15289909.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\15289909.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
FirewallRules: [{C49825C2-18D6-4315-96F4-AA9F76970C2E}] => (Block) LPort=445
FirewallRules: [{BE1D0662-2709-4632-8B2C-D416779736EB}] => (Block) LPort=445
FirewallRules: [{91D9F8B9-80CE-4D25-821E-1AD984CC544F}] => (Block) LPort=139
FirewallRules: [{BC34D1CA-8DA8-4923-A99D-728332ECAFFF}] => (Block) LPort=139
FirewallRules: [{A2F098F5-CC7B-417F-B8F1-6120B929749D}] => (Allow) LPort=3389
FirewallRules: [{22B12F66-46DB-4A3C-A7E6-6D802109914B}] => (Allow) LPort=3389
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Пробуйте устанавливать и запускать Malwarebytes также при отключённом антивирусе.
malwarebytes установился, нашел пару троянов. Прикрепляю фикслог. Спасибо вам большое.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.