-
Вложений: 3
Поймал вирус
[I]Всем привет. Столкнулся с проблемой.Сегодня включил компьютер вылазит уведомление о заполнении диска системного.
Прохожу процедуру windirstat и нахожу файл с именем D но без расширения, стараюсь его найти через разные проводники, но без результатов. Прохожу проверку защитником виндовс, тоже ничсего не даёт, процессы смотрел через диспетчер тоже ничего не нашел и файл удалить не могу. Скачал Dr.web, RogueKiller, Malwarebytes, каждый что-то вылечил,но не помогло.
Система стала грузиться дольше, игры стали неиграбельны, доступ к защитнику и еще некоторым дерикториям меня ограничило, причем не сразу[/I]
-
Уважаемый(ая) [B]DemonDogs[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
QuarantineFile('C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ssfn5878323422411663754', '');
DeleteFile('C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ssfn5878323422411663754', '64');
DeleteService('jilefjqu');
DeleteService('WinSetupMon');
DeleteSchedulerTask('Opera scheduled Autoupdate 1660515307');
DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера');
DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера.job');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем [U][B]в личном сообщении[/B][/U].
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID\CPU-Z\Uninstall CPU-Z.lnk" -> (0 байт)
- "C:\ProgramData\{950365BB-E2C0-4BF0-A8BC-566DB5F170BB}\EGR-ShellExtension_setup.lnk" -> (заголовок не соответствует типу LNK) Header=0xEFBBBF (3 байт)
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project Galaxy\Project Galaxy.lnk" -> ["D:\Games\Project Galaxy\MinecraftLauncher.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить FIFA 18.lnk" -> ["C:\Games\FIFA 18\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить FIFA 18.lnk" -> ["C:\Games\FIFA 18\FIFA18.exe"]
>>> "C:\Users\drats\Desktop\FCS.lnk" -> ["E:\Games\Finnish Cottage Simulator\FCS.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare\Wondershare MobileTransPro Update\Wondershare MobileTransPro Update.lnk" -> ["D:\Programs\mobile trams\Wondershare\MobileTrans (Russian)\update\Wondershare MobileTransPro Update.exe"]
>>> "C:\Users\drats\Desktop\RADMIR LAUNCHER.lnk" -> ["D:\Games\RADMIR LAUNCHER\RADMIR_LAUNCHER.exe"]
>>> "C:\Users\drats\Desktop\TestMem5.lnk" -> ["C:\Users\drats\Downloads\testmem5-v0-12\TM5\TM5.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk" -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk" -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\drats\Desktop\AlanWake2.lnk" -> ["E:\Games\Alan Wake 2 (2023)\Alan Wake 2\AlanWake2.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2\Process Hacker 2.lnk" -> ["C:\Program Files\Process Hacker 2\ProcessHacker.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk" -> ["C:\WINDOWS\system32\WFS.exe" =>> /SendTo]
>>> "C:\Users\drats\Documents\Euro Truck Simulator 2\readme.rtf.lnk" -> ["D:\Games\Euro Truck Simulator 2\readme.rtf"]
>>> "C:\Users\drats\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]
>>> "C:\Users\Public\Desktop\TLauncher.lnk" -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SE7EN\Counter-Strike Source\Counter-Strike Source [7L].lnk" -> ["D:\Games\Counter-Strike Source\Run_CSS.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SE7EN\Counter-Strike Source\Деинсталлировать %1 Counter-Strike Source.lnk" -> ["D:\Games\Counter-Strike Source\unins000.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk" -> ["C:\WINDOWS\system32\narrator.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk" -> ["C:\WINDOWS\system32\printmanagement.msc"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk" -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>> "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\WINDOWS\system32\mblctr.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk" -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk" -> ["C:\WINDOWS\system32\osk.exe"]
>>> "C:\Users\drats\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk" -> ["C:\WINDOWS\system32\wfs.exe" =>> /SendTo][/CODE]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Tasks_Migrated: \System\SystemCheck - C:\Users\drats\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck (file missing)[/code]
Деинсталлируйте RogueKiller.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Page generated in 0.00930 seconds with 10 queries