помогите пожалуйста удалить трояны с системы
Printable View
помогите пожалуйста удалить трояны с системы
Уважаемый(ая) [B]gredot[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=Info_bot;1527125]Уважаемый(ая) [B]gredot[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].[/QUOTE]
прислал карантин рассмотрите
Здравствуйте. Проблема то в чем? Может потрудитесь описать проблему, чтобы она была понятна не только вам?
Деинсталлируйте ПНП:
[CODE]
Loaris Trojan Remover 3.2.43
Spybot - Search & Destroy
[/CODE]
Здравствуйте! Доктором вебом пытаюсь проверить компьютер на вирусы у меня выключается комп mobon папка вредоносный файл
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
вирусов на моём компьютере есть?
[QUOTE=gredot;1527144]
вирусов на моём компьютере есть?[/QUOTE]
Активных не видно. От какого из 3-х или 4-х антивирусов было предупреждение о трояне в папке C:\Users\Tester\AppData\Roaming\Mobon?
Loaris Trojan Remover 3.2.43
Spybot - Search & Destroy
Avast Premium Security
Видны следы проверки также Zemana AntiMalware
При активных других антивирусах проверка Dr. Web CureIt может прерваться, проверьте в безопасном режиме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Здравствуйте!было предупреждение что в папке вредоносная программа loaris trojan remover 3.2.43 нашла на virustotal проверил файл только a-adware antivirus нашла
Файл чист с таким детектом. Удалите бесполезный Loaris Trojan Remover, как уже рекомендовали.
Zemana AntiMalware использовали? Остались его драйвера и службы, могут конфликтовать с другими антивирусами.
как следы zemana antimalware удалить?
Удалим в FRST вместе с мусором, только описанные ниже действия производите [B]только в безопасном режиме[/B] системы.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.)
R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2023-02-13] (Zemana Ltd. -> Zemana Ltd.)
S1 amsdk; \??\C:\Windows\system32\drivers\amsdk.sys [X]
S1 epp; \??\C:\Program Files\Emsisoft Anti-Malware\epp.sys [X]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zamguard64.sys
2023-02-13 16:36 - 2023-02-13 16:36 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zam64.sys
2023-02-28 07:15 - 2021-02-20 11:59 - 000062190 _____ C:\Windows\ZAM.krnl.trace
2023-02-28 07:15 - 2021-02-20 11:59 - 000035954 _____ C:\Windows\ZAM_Guard.krnl.trace
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [143]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [274]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06466760.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06466760.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ZAM.exe" /service => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zam64.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zamguard64.sys => ""="Driver"
FirewallRules: [TCP Query User{D6420BE7-0DF8-495D-A93D-3214D25B313F}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла
FirewallRules: [UDP Query User{E43BE5D2-40A1-4045-B3C9-36D635B21567}C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe] => (Allow) C:\users\tester\appdata\local\avast software\browser\application\avastbrowser.exe => Нет файла
FirewallRules: [{A21866E0-A2C0-4E9C-838F-FD11A48A60C7}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла
FirewallRules: [{79CDBC4B-3E1C-4512-BB80-4CD9AEC10EB2}] => (Allow) C:\Program Files (x86)\EMCO\Malware Destroyer 8\MalwareDestroyer.exe => Нет файла
FirewallRules: [TCP Query User{B1404683-363D-4AB7-984E-C2197F08856A}C:\program files\blade of darkness\classic\bin\blade.exe] => (Allow) C:\program files\blade of darkness\classic\bin\blade.exe => Нет файла
FirewallRules: [UDP Query User{712CA070-F5C3-4611-BF0E-29AD5C61C48F}C:\program files\blade of darkness\classic\bin\blade.exe] => (Allow) C:\program files\blade of darkness\classic\bin\blade.exe => Нет файла
FirewallRules: [{ECBADED4-B2D1-455F-AF67-9D61DCF461DD}] => (Allow) C:\Users\Tester\AppData\Local\Programs\Opera\94.0.4606.54\opera.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[QUOTE]Процент используемой памяти: 95%
Общий объём физической RAM: 2047.37 MB[/QUOTE]
Увеличьте память или переставьте систему 32-разрядную. В таком режиме даже с SSD работать мучительно, и изнашивается он быстрее.
netfilter зачем удалять?
Часто был замечен в adware, уберите строку из фикса.
отправлю лог файл
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
могу keylogger подключён к компьютере могу показать скриншот выслать
не могу скачать не даёт
всё отправил файл
[QUOTE][B][color=red][b]Автоматическое обновление отключено[/b][/color]
Дата установки обновлений: 2019-10-07 08:38:18[/B][/QUOTE]Поэтому и скачать не могли, нет сертификатов, которые приходят с обновлениями.
И нет множества критических фиксов:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.
С учётом этого[QUOTE][color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color][/QUOTE]систему крайне желательно обновить по полной, через автоматическое обновление, а проще и быстрее - с помошью [URL="https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-januar-2023.15232/"]Windows 7 Update Pack by DrWindows[/URL].
И Loaris Trojan Remover до сих пор не удалили.
farbar можно ещё проверить после восстановления вернулась как было
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Loaris Trojan Remover удалил
[QUOTE=gredot;1527341]farbar можно ещё проверить после восстановления вернулась как было[/QUOTE]
Что именно вернулось?