Добрый день!
Каспер не справляется. Перегружал комп раз 5, но все по кругу.
Добрый день!
Каспер не справляется. Перегружал комп раз 5, но все по кругу.
Уважаемый(ая) [B]Arhimed[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\windows\vpnplugins\servicing\ibhost.exe');
QuarantineFile('c:\windows\vpnplugins\servicing\ibhost.exe', '');
DeleteFile('c:\windows\vpnplugins\servicing\ibhost.exe', '32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
[URL=http://virusinfo.info/showthread.php?t=4491]"Пофиксите" в HijackThis[/URL] только следующее:
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Tasks: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (sign: 'Avast Software s.r.o.')
O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (sign: 'Avast Software s.r.o.')
[/CODE]
Файл [b]CheckBrowserLnk.log[/b]
из папки
[QUOTE]...\AutoLogger\CheckBrowserLnk[/QUOTE]
[img]http://dragokas.com/tools/move.gif[/img] перетащите на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url].
Отчёт о работе в виде файла [b]ClearLNK-<Дата>.log[/b] прикрепите к вашему следующему сообщению.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
Логи
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Логи
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
IFEO\sethc.exe: [Debugger] C:\Windows\vpnplugins\servicing\ibhost.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-163553675-2194933958-4176317783-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Ирина\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKU\S-1-5-21-163553675-2194933958-4176317783-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2023-10-10 19:14 - 2021-08-20 13:02 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
C:\Windows\vpnplugins\servicing\ibhost.exe
Folder: C:\Windows\vpnplugins\servicing\
FirewallRules: [{EE44DAC5-FA40-44F8-B443-E2B8EF47D08D}] => (Allow) LPort=443
FirewallRules: [{156305BC-9B6C-4F3D-B8D6-F09AEE58F10B}] => (Allow) LPort=443
FirewallRules: [{D5B4E2CD-57A0-4376-BB55-4E4654CB0689}] => (Allow) LPort=443
FirewallRules: [{89A3FA7B-FD34-483D-9AD2-21B4603541DB}] => (Allow) LPort=443
FirewallRules: [{DB19E19D-F374-47CB-A2C4-D8CEB1CCD86E}] => (Allow) LPort=443
FirewallRules: [{2E2FB34E-3892-4B7B-BF82-CE5675EE220C}] => (Allow) LPort=443
FirewallRules: [{2442E548-EFED-4642-A09E-60C70A047512}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{57B1E996-4219-467A-8CD7-11376F572258}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{15466092-F808-4784-88BC-D6A0CA324724}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{9C12A7B5-2438-46D9-84C9-EC32DBB874AE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{BE218BFD-6A5F-4F0E-9CF4-26E37EA47367}] => (Allow) LPort=443
FirewallRules: [{2AB0407C-C587-4A1C-9DE8-388AB3FDF689}] => (Allow) LPort=443
FirewallRules: [{B63769F4-BF4B-4EA5-AF9C-47FF900E7F28}] => (Allow) LPort=443
FirewallRules: [{3082A2AA-F671-4D32-BC4C-3D51DCCFAA0C}] => (Allow) LPort=443
EmptyTemp:
Reboot:
End::
[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
В системе многовато администраторов. Желательно оставить одного.
Очередные логи.
И после перезагрузки Касперский опять выдал окошко, что нашел Trojan.Multi.GenAutorunReg.a в Системной памяти.
Скачайте [url=https://downloads.malwarebytes.com/file/mb-windows]Malwarebytes v.4[/url]. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
[B][COLOR="Red"]Самостоятельно ничего не помещайте в карантин!!![/COLOR][/B]
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Новые логи
Всё найденное удалите (поместите в карантин).
Перезагрузите компьютер и сделайте ещё раз проверки Касперским и Malwarebytes.
Все вылечилось.
Спасибо огромное!
Хорошо, в завершение:
1. Деинсталлируйте Malwarebytes
2.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
3.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]