Printable View
Уже который раз, после полной чистки ПК антивирусами-утилитами, типа drweb cureit, hitman malware, kaspersky, вот этот вирус по вот этому пути (скриншоты) восстанавливается и забивает проц по сотку, в диспетчере не детектится. Три недели назад нашел путь, где он сидит, удалил и сейчас он опять вернулся.
Уважаемый(ая) [B]Kozzzir[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\windows\dlchosts.exe');
TerminateProcessByName('c:\programdata\windows\profile\dllhostn.exe');
TerminateProcessByName('c:\programdata\windows\profile\service.exe');
TerminateProcessByName('c:\programdata\windows\profile\wasp.exe');
TerminateProcessByName('c:\programdata\windows\profile\waspwing.exe');
QuarantineFile('c:\programdata\windows\dlchosts.exe', '');
QuarantineFile('c:\programdata\windows\profile\dllhostn.exe', '');
QuarantineFile('c:\programdata\windows\profile\service.exe', '');
QuarantineFile('c:\programdata\windows\profile\wasp.exe', '');
QuarantineFile('c:\programdata\windows\profile\waspwing.exe', '');
DeleteFile('c:\programdata\windows\dlchosts.exe', '');
DeleteFile('c:\programdata\windows\dlchosts.exe', '64');
DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '');
DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '64');
DeleteFile('c:\programdata\windows\profile\service.exe', '');
DeleteFile('c:\programdata\windows\profile\wasp.exe', '');
DeleteFile('c:\programdata\windows\profile\wasp.exe', '64');
DeleteFile('c:\programdata\windows\profile\waspwing.exe', '');
DeleteFileMask('c:\programdata\windows\profile', '*', false);
DeleteDirectory('c:\programdata\windows\profile');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('Microsoft\Windows\DUSM\DUSM');
DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-1481903186-1144140200-1019887221-500');
DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-3929785066-1310864014-745133530-500');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Вот. Кстати, после перезапуска системы, выдало ошибку об отсутствии скрипта
[ATTACH=CONFIG]685791[/ATTACH]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {20646ba3-a8ca-11eb-96d9-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {20646bbc-a8ca-11eb-96d9-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {267133d5-9378-11eb-968f-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {401f37f1-9b55-11eb-96ab-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {401f388e-9b55-11eb-96ab-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {c7ee2958-ae43-11eb-96f1-18c04d697d73} - "I:\setup.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218a8f-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218aa2-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218acc-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe"
Task: {D475C0C5-43A0-4CB6-A8CC-8EBDDAC2E451} - \Microsoft\Windows\Maintenance\WinNAT -> Нет файла <==== ВНИМАНИЕ
2021-08-28 17:26 - 2021-08-28 17:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign5dc1b573d929796e
2021-08-28 17:26 - 2021-08-28 17:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign3351d4e8508bd664
2021-08-21 00:27 - 2021-08-21 00:27 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsignf03bdc63b070e9df
2021-08-21 00:26 - 2021-08-21 00:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsignf90bb5a7194c178a
2021-08-16 16:09 - 2021-08-16 16:09 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsigna2fbf57852fcfea9
2021-08-16 16:09 - 2021-08-16 16:09 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign08ecd4a6a1167199
2021-09-05 17:31 - 2021-05-22 14:25 - 000000000 _RSHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\arahn\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{5F980B27-C55F-4F52-9192-85468DB5EA09}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{A2EEC73D-2A96-4EC9-B69A-D6BEBBB1518A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{FD4E7121-CF69-42E2-9211-7C633E68A690}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Вроде он пока не восстановился и не планирует. Если проблема возникнет ещё раз, я знаю куда написать))))) Спасибо Вам большое
[QUOTE]Java 8 Update 281 (64-bit) v.8.0.2810.9 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color][/QUOTE]Обновите Java.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.