-
[quote="Snickers;1524064"]Сеть отключил[/quote]
Хорошо, пока не подключайте.
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\windows\syswow64\drivers\svchost.exe');
TerminateProcessByName('C:\Windows\SysWOW64\drivers\taskmgr.exe');
TerminateProcessByName('c:\windows\syswow64\wmiex.exe');
TerminateProcessByName('c:\windows\temp\svchost.exe');
StopService('Ddriver');
StopService('WebServers');
QuarantineFile('C:\Windows\system32\svhost.exe', '');
QuarantineFile('c:\windows\syswow64\drivers\svchost.exe', '');
QuarantineFile('C:\Windows\SysWOW64\drivers\taskmgr.exe', '');
QuarantineFile('c:\windows\syswow64\wmiex.exe', '');
QuarantineFile('C:\Windows\TEMP\_MEI17122\python27.dll', '');
QuarantineFile('c:\windows\temp\svchost.exe', '');
DeleteSchedulerTask('Ddrivers');
DeleteSchedulerTask('DnsScan');
DeleteSchedulerTask('Microsoft\Windows\Bluetooths');
DeleteSchedulerTask('WebServers');
DeleteFile('C:\Windows\system32\svhost.exe', '');
DeleteFile('c:\windows\syswow64\drivers\svchost.exe', '');
DeleteFile('c:\windows\SysWOW64\drivers\svchost.exe', '64');
DeleteFile('C:\Windows\SysWOW64\drivers\taskmgr.exe', '');
DeleteFile('c:\windows\syswow64\wmiex.exe', '');
DeleteFile('c:\windows\SysWOW64\wmiex.exe', '64');
DeleteFile('C:\Windows\TEMP\_MEI17122\python27.dll', '');
DeleteFile('c:\windows\temp\svchost.exe', '');
DeleteFile('C:\Windows\temp\svchost.exe', '64');
DeleteService('Ddriver');
DeleteService('WebServers');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделайте очередные повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Для выполнения скрипта AVZ используете правильную, эту?
[QUOTE]D:\Загрузки\AutoLogger\AutoLogger\AV\[B]av_z.exe[/B][/QUOTE]
-
"Прислать запрошенный карантин" вверху темы - готово
Прикрепляю логи.
Для выполнения скрипта AVZ используете правильную, эту? - верно.
-
[QUOTE]D:\Загрузки\Dr.Web 12 Portable Scanner by HA3APET v4\drweb\dwengine.exe
D:\Загрузки\Dr.Web 12 Portable Scanner by HA3APET v4\drweb\dwarkdaemon.exe[/QUOTE]
Не нужно пользоваться сборками неизвестно от кого. При том, что у производителя итак существует бесплатная ежедневно обновляемая версия
[url]https://free.drweb.ru/cureit/[/url]
Но пока не нужно.
Надеюсь, компьютер по-прежнему отключен от локальной сети.
Соберите новые логи FRST (старые можно удалить):
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
-
[QUOTE=Sandor;1524067]
Надеюсь, компьютер по-прежнему отключен от локальной сети.
[/QUOTE]
Да.
Отчёты прикрепляю.
-
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2022-01-25 12:30 - 2022-01-25 14:27 - 000201776 ____H C:\Windows\SysWOW64\svhost.exe
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
-
Всё сделал, лог прикрепляю.
-
Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt
-
[QUOTE=Sandor;1524073]Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt[/QUOTE]
Уже только завтра. Спасибо.
-
Хорошо. Только, напоминаю, не подключайте пока этот компьютер к сети.
-
[QUOTE=Sandor;1524073]Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt[/QUOTE]
Готово. Да, отключен от сети по прежнему.
-
[LIST=1][*]Скачайте архив [url=http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению.[/list]
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt[/i]
-
[QUOTE=Sandor;1524086][LIST=1][*]Скачайте архив [url=http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.zip]TDSSKiller.zip[/url] и распакуйте его в отдельную папку;[*]Запустите файл [B][I]TDSSKiller.exe[/I][/B].[*]Нажмите кнопку "[b]Начать проверку[/b]". Не меняйте настройки сканирования по умолчанию.[*]В процессе проверки могут быть обнаружены объекты двух типов:[list][*]вредоносные (точно было установлено, какой вредоносной программой поражен объект);[*]подозрительные (тип вредоносного воздействия точно установить невозможно).[/list][*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.[*]Для вредоносных объектов утилита автоматически определяет действие: [b]Лечить[/b] или [b]Удалить[/b].[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию [b]Пропустить[/b]).[*][B][COLOR="Red"]Самостоятельно без указания консультанта ничего не удаляйте!!![/COLOR][/B][*]После нажатия кнопки [b]Продолжить[/b] утилита выполняет выбранные действия и выводит результат.[*]Прикрепите лог утилиты к своему следующему сообщению.[/list]
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: [i]ИмяУтилиты.Версия_Дата_Время_log.txt[/i]
Например, [i]C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt[/i][/QUOTE]
Готово. Ничего не нашло. Лог прикрепляю.
-
Да, вижу.
Так ещё посмотрим:
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
-
[QUOTE=Sandor;1524088]Да, вижу.
Так ещё посмотрим:
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url][/QUOTE]
Готово. Прикрепляю.
-
Выполните [URL=https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827]скрипт в UVS[/URL].
[code]
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\DRIVERS\TASKMGR.EXE
addsgn BA6F9BA21DE310565B9C27CD4090ED10D1100309C171D74B57827D2850D671B336FC59A8C11D1691630544EA4CAEB6FA7DDF014057DAB0EB2DE3A42FC74EA9BB 8 Trojan.Siggen8.6918 [DrWeb] 7
chklst
delvir
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
apply
deltmp
czoo
restart
[/code]
В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"
Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. Компьютер [B][COLOR="Red"]будет перезагружен[/COLOR][/B].
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему сообщению.
Соберите ещё раз контрольный образ автозапуска uVS.
P.S. Не нужно полностью цитировать предыдущее сообщение. Отвечайте в форме быстрого ответа внизу.
-
-
Скачайте актуальную версию off-line installer [url=https://downloads.malwarebytes.com/file/mb4_offline]Malwarebytes v.4[/url]. Перенесите на проблемный компьютер. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
[B][COLOR="Red"]Самостоятельно ничего не помещайте в карантин!!![/COLOR][/B]
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
-
-
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
-
Page generated in 0.00971 seconds with 10 queries