Доброго времени суток форумчане! После проверки на вирусы Д.Вэб КурИт целевыми указаниями с папкой вирусы появляются снова>:(
Printable View
Доброго времени суток форумчане! После проверки на вирусы Д.Вэб КурИт целевыми указаниями с папкой вирусы появляются снова>:(
Уважаемый(ая) [B]wutan[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Добрый день
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk -> C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"
O4 - HKCU\..\Run: [hsgwxhg] = C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"
O4 - User Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk -> C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Админ\appdata\roaming\drpsu\alice\cloud.exe','');
QuarantineFile('C:\Users\Админ\appdata\roaming\temporx\uihost64.exe','');
QuarantineFile('C:\Users\Админ\appdata\roaming\tempor\nscpucnminer64.exe','');
QuarantineFile('C:\Users\Админ\AppData\Roaming\TempoRX\VID001.exe','');
QuarantineFile('C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js','');
QuarantineFile('C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe','');
DeleteFile('C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe','32');
DeleteFile('C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js','32');
DeleteFile('C:\Users\Админ\AppData\Roaming\TempoRX\VID001.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hsgwxhg','x32');
DeleteFile('C:\Users\Админ\appdata\roaming\tempor\nscpucnminer64.exe','32');
DeleteFile('C:\Users\Админ\appdata\roaming\temporx\uihost64.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
[b]wutan[/b], на каком форуме будете продолжать лечение?
Здесь или на кибере?
У вас, так как я здесь впервые:thumbs: и как бы там на кибере я железно знаю ответят помогут, а по вашему сайту как бы сомневался что да как:sorry:
Доброго времени суток ребят!! Вот незадача, вирус под названием "VID001.exe" не удалился :sos:
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Кстати когда AVZ выполнял скрипт там в окошке статуса были прописаны красным шрифтом пару строк которые как я понял говорили об ошибках и как бы вот....а ещё я не сразу после перезагрузки, после работы скрипта AVZ, а после проверки Adw выполнил скрипт по созданию логов AVZ, тоже вот... :worried:
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Так ну вроде всё как в описании сделал!
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
А ещё вот...
[LIST][*] Закройте и сохраните все открытые приложения.[*] Выделите следующий код::
[CODE]
Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Winlogon: [Shell] explorer.exe
HKU\S-1-5-21-4076941815-1334683785-3787336036-1000\...\Run: [] => [X]
File: C:\VID001.exe
Zip: C:\VID001.exe
2021-08-05 19:21 - 2021-06-25 22:21 - 002361084 _____ C:\VID001.exe
Zip: C:\VID001.exe
End::
[/CODE][*] Скопируйте выделенный текст ([b]правой кнопкой - Копировать[/b]).[*] Запустите FRST/FRST64 (от имени администратора). [*] Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). . [*] Обратите внимание, что компьютер возможно будет [b]перезагружен[/b].[/LIST]
[code]
Error: (08/09/2021 07:39:22 AM) (Source: Ntfs) (EventID: 137) (User: )
Description: Используемый по умолчанию диспетчер ресурсов транзакций на томе D: обнаружил неповторяемую ошибку, и его запуск невозможен. Данные содержат код ошибки.
[/code]
Проверьте диск d: на ошибки
Пролечите с [URL="https://support.kaspersky.ru/viruses/kvrt2015"]помощью KVRT.[/URL]
Так ну вроде всё огромнейшее Вам спасибо уважаемые мои новые друзья!!!:094:
KVRT- огонь утилита, как и какие кнопки репутации прожать чтоб тему закрыть!?
Это был [URL="https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507/detection"]Worm.NSIS.BitMin.d (Kaspersky)[/URL], поэтому он восставливался быстрее, чем утилита.
Проделайте завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2. Загрузите [URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL], сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [COLOR="#0000FF"]C:\SecurityCheck\SecurityCheck.txt[/COLOR]
Прикрепите этот файл к своему следующему сообщению.