Printable View
Добрый день.
Произошла неприятная ситуация, один... нехороший человек занес на мой компьютер вирус [SIZE=1](хотя его вообще-то звали посмотреть монитор, но не буду загружать вас подробностями)[/SIZE]. Я погоняла компьютер cureit и kvrt, они вроде все вычистили. Но полной уверенности нет, и хотелось бы все же перестраховаться.
Заранее спасибо.
Уважаемый(ая) [B]Lynx[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - d:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)
O22 - Task: \Microsoft\Windows Defender\MpIdleTask - d:\program files\windows defender\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (file missing)[/code]
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\User\Desktop\Nero Express.lnk" -> ["C:\Program Files\Ahead\Nero\nero.exe" =>> /w]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\ReadMe.txt.lnk" -> ["C:\Program Files (x86)\XviD\ReadMe.txt"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\MiniCalc.txt.lnk" -> ["C:\Program Files (x86)\XviD\MiniCalc.txt"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\Uninstall XviD.lnk" -> ["C:\Program Files (x86)\XviD\UninstXviD.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\Uninstall.lnk" -> ["C:\Windows\system32\xvid-uninstall.exe"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Добрый день.
Возникли проблемы с первым пунктом. Запустила HijackThis - "Do a system scan only", но этих строк там попросту не оказалось:
[QUOTE=Vvvyg;1524148][code]O22 - Task: \Microsoft\Windows Defender\MP Scheduled Scan - d:\program files\windows defender\MpCmdRun.exe Scan -ScheduleJob -WinTask -RestrictPrivilegesScan (file missing)
O22 - Task: \Microsoft\Windows Defender\MpIdleTask - d:\program files\windows defender\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (file missing)[/code][/QUOTE]
Два раза запускала сканирование. Причем смотрю, старый лог, который оправляла раньше, там они есть. В общем, прикрепила на всякий случай новый лог HijackThis. Самое интересное, что у меня такой папки на диске D никогда и не было.
Все остальное сделала, логи прилагаются.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder2011\SysInfoX64.sys [X]
R0 7208F188; C:\Windows\System32\drivers\7208F188.sys [478392 2022-01-27] (Kaspersky Lab -> Kaspersky Lab ZAO)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70344378.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\7208F188.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70344378.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\7208F188.sys => ""="Driver"
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Добрый день.
Все сделала. Вот отчеты.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Троянов активных в системе не было, но Есть проблемы безопасности.
[QUOTE]Internet Explorer 11.0.9600.18738 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color][/QUOTE]Обновите Internet Explorer 11, [B]даже если им не пользуетесь[/B], это критически важный для безопасности компонент Windows.
[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color][/QUOTE]Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.
[QUOTE]Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба остановлена
Windows Defender (включен и устарел)[/QUOTE]Рекомендую включить автоматическое обновление, штатный антивирус не обновляет базы.
[QUOTE]Microsoft .NET Framework 4.7 v.4.7.02053 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Java 8 Update 211 (64-bit) v.8.0.2110.12 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^[/b][/color]
Adobe Flash Player 22 NPAPI v.22.0.0.192 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.[/QUOTE]Выполните эти рекомендации и на этом всё.
Спасибо большое за вашу работу.