Здравствуйте, каспер находит Trojan Dropper.win32.Dapatto.
Printable View
Здравствуйте, каспер находит Trojan Dropper.win32.Dapatto.
Уважаемый(ая) [B]gruma[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=gruma;1516163]каспер находит Trojan Dropper.win32.Dapatto.[/QUOTE]
Недоговариваете. Находит, и?... Удаляет?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
DeleteFile('C:\Users\Maria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Играть! GameXP.lnk');
DeleteFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk', '64');
DeleteFile('C:\Users\Корректир\AppData\Roaming\System\svchost.exe', '64');
DeleteService('DES2 Service');
DeleteService('TNTClientDaemonMS2');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
DeleteSchedulerTask('Opera scheduled Autoupdate 1553889758');
DeleteSchedulerTask('Phoenix Browser Updater');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Добрый день. Он удалил с сотого раза, но теперь почему-то внезапно может исчезать свободное место на диске C: Все как написано выполнила, архив приложила
[QUOTE=Vvvyg;1516169]Недоговариваете. Находит, и?... Удаляет?
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/URL]:[code]begin
DeleteFile('C:\Users\Maria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Играть! GameXP.lnk');
DeleteFile('C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk', '64');
DeleteFile('C:\Users\Корректир\AppData\Roaming\System\svchost.exe', '64');
DeleteService('DES2 Service');
DeleteService('TNTClientDaemonMS2');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
DeleteSchedulerTask('Opera scheduled Autoupdate 1553889758');
DeleteSchedulerTask('Phoenix Browser Updater');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Запустите HijackThis, расположенный в папке Autologger и [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/URL]:[code]O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).[/QUOTE]
[NOTICE]Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"[/NOTICE]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {10d4bfb8-a56a-11e4-824c-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {1b608a18-8d24-11e4-99df-50e5493de388} - E:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {1d86c573-3f98-11e4-9095-806e6f6e6963} - D:\Run.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {43ea8937-7dc7-11e5-90f0-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {626da23a-a427-11e5-be93-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {800b7b58-cb37-11e5-acc5-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {899513e5-838d-11e5-acb7-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {89951458-838d-11e5-acb7-50e5493de388} - H:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {8995148f-838d-11e5-acb7-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {8dd5bade-3f9c-11e4-85b4-50e5493de388} - E:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {8dd5baf2-3f9c-11e4-85b4-50e5493de388} - E:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {9b4487c2-d30e-11e4-a8f2-50e5493de388} - H:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {a22a0d35-4476-11e4-a32b-50e5493de388} - F:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {b228d35d-f950-11e5-a2a2-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {b25fede5-09c1-11e9-b053-50e5493de388} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {d23ff9f9-76d1-11e4-9d02-50e5493de388} - E:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {f1bc57cc-700e-11e6-80eb-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {f1bc57f2-700e-11e6-80eb-50e5493de388} - G:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {f9d5a3b4-a550-11e4-a486-50e5493de388} - E:\AutoRun.exe
HKU\S-1-5-21-932644877-1960237351-3079929141-1000\...\MountPoints2: {fc6f626e-55a9-11e8-bb18-50e5493de388} - G:\HiSuiteDownLoader.exe
Task: {3DB9F2AE-4433-4C32-AA2D-3158D328670E} - \Microsoft\C36F991D5B84ACE47242F53D171B162E -> No File <==== ATTENTION
Task: {6BF4ACC1-C989-4DA1-B08B-008CF03A0BFF} - \Microsoft\Windows\C36F991D5B84ACE47242F53D171B162ESB -> No File <==== ATTENTION
Task: {7610B40B-9A84-4192-931C-4D39CB898442} - \Microsoft\Windows\ACDF171D9-14C8-427C-871B-E82AD25C6B2C -> No File <==== ATTENTION
Task: {7E6799A8-5CA2-46AA-BC65-50C3790F57E2} - \Microsoft\Windows\C36F991D5B84ACE47242F53D171B162E -> No File <==== ATTENTION
Task: {CA676A42-583A-48A6-877D-2B33BB2C60DA} - \Microsoft\C36F991D5B84ACE47242F53D171B162ESB -> No File <==== ATTENTION
Task: {F702EB7E-D4F2-475C-B88B-4CD573E2E537} - \{F7359103-8BC8-72CB-0B67-C665218786E3} -> No File <==== ATTENTION
S2 ihctrl32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Выполнено
[QUOTE]HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
C учётом, что расширенная поддержка Windows 7 закончилась 14.01.2020? давно пора бы установить все обновления.
[QUOTE]WinRAR 4.00 (64-bit) v.4.00.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Архиваторы тоже используются в нехороших целях, обновите:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
Также обновите Java[QUOTE]Java 8 Update 211 v.8.0.2110.12 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^[/b][/color][/QUOTE]
И браузеры[QUOTE]Yandex v.20.11.2.78 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]
Google Chrome v.86.0.4240.198 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color][/QUOTE]
Это лучше удалить, если не пользуетесь:[QUOTE]PushControl [color=red][b]Внимание! Подозрение на Adware![/b][/color] Если данная программа Вам неизвестна, [color=blue][b]рекомендуется ее деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] и [URL=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/URL][/b][/color] [i]Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!![/i]
Unity Web Player v.5.0.3f2 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.0.2116 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]