Вирус возрождается как птица Феникс

**Alex_Best** · 30.01.2019, 16:56

мир, дружба жвачка... уважаемый я очень занятой человек (уж извините)... какую именно информацию нужно, скажите, пожалуйста!

- - - - -Добавлено - - - - -

прошу простить (был в неадеквате)...
посмотрите логи, плиз

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mike 1** · 30.01.2019, 17:58

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Alex_Best** · 30.01.2019, 19:42

ок. сделал как Вы сказали...

**mike 1** · 02.02.2019, 00:31

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2447388462-3733530960-1321855701-1000\...\MountPoints2: {7721f61e-dc9b-11e7-ba19-0017315e4def} - F:\AutoRun.exe
HKU\S-1-5-21-2447388462-3733530960-1321855701-1000\...\MountPoints2: {7721f7b2-dc9b-11e7-ba19-0017315e4def} - F:\AutoRun.exe
HKU\S-1-5-21-2447388462-3733530960-1321855701-1000\...\MountPoints2: {7c50842f-573f-11e8-ad7b-0017315e4def} - E:\LGAutoRun.exe
HKU\S-1-5-21-2447388462-3733530960-1321855701-1000\...\MountPoints2: {846132ba-455e-11e8-a75a-0017315e4def} - E:\AutoRun.exe
HKU\S-1-5-21-2447388462-3733530960-1321855701-1000\...\MountPoints2: {e46c4ee9-9f1c-11e8-b2fb-0017315e4def} - G:\AUTORUN.EXE
CHR HKLM\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path/update_url>
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [147]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [147]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [129]
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Сделайте новые логи FRST.txt, Addition.txt

**Alex_Best** · 02.02.2019, 07:38

Архив дата_время не появлялся

**mike 1** · 02.02.2019, 15:55

Сделайте новые логи FRST.txt, Addition.txt

???

**Alex_Best** · 02.02.2019, 19:57

прошу прощения, я не могу загрузить файл, система пишет, что превышен предел вложений (как я понял)...
что делать?

**mike 1** · 02.02.2019, 20:49

Удалите старые вложения. Мой кабинет => вложения.

**Alex_Best** · 02.02.2019, 22:17

спасибо! Все получилось
вот логи -

**mike 1** · 03.02.2019, 01:26

Что с проблемой?

**Alex_Best** · 03.02.2019, 08:11

то же самое. подтверждение - в скринах ниже

**mike 1** · 03.02.2019, 14:03

Проверьте этот файл на Virustotal, ссылку на результат проверки покажите. Путь к файлу можно посмотреть в отчетах антивируса.

**Alex_Best** · 03.02.2019, 18:31

https://www.virustotal.com/ru/file/a...is/1549207690/

**mike 1** · 03.02.2019, 19:34

На скриншоте он ругается на другой файл - software_reporter_tool.exe. , но скорее всего это ложное срабатывание Аваста.

**Alex_Best** · 03.02.2019, 21:37

понимаете, там такого файла нет. я по поиску набрал.. то что было максимально похоже - закинул...
Ясно, спасибо большое!

Вирус возрождается как птица Феникс (заявка № 221625)

Опции темы

Похожие темы

Неубиваемая папка Птица Феникс

Птица Феникс - Руткит!

67 Мб на вроде бы пустом диске D. Где и как искать? Как убрать (если можно)?

Как преодолеть файрволл и как не допустить этого

Ваши права в разделе