После лечения от майнер вируса.
Всем Привет.
В процессе проверки антивирусами Касперский и MalWarebytes были найдены вирусы в папке ProgramData\indus, файлах Internet Explorer, wscript.exe, при старте сейчас вылазит ошибка (фото в приложении).
Пожалуйста посмотрите приложенный архив, может требуется что либо профиксить и т.п.
Заранее Благодарен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) VG20ET, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O1 - Hosts: 127.0.0.1 down.baidu2016.com O1 - Hosts: 127.0.0.1 123.sogou.com O1 - Hosts: 127.0.0.1 www.czzsyzgm.com O1 - Hosts: 127.0.0.1 www.czzsyzxl.com O1 - Hosts: 127.0.0.1 union.baidu2019.com O4 - MSConfig\startupreg: Steam [command] = (no file) (HKCU) (2018/09/01) O4-32 - HKLM\..\Run: [rundll] = C:\Windows\system32\wscript.exe C:\ProgramData\indus\start.vbs
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Спасибо. Все сделал. Логи прикладываю.
Можно было бы и со сжатием архив сделать
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: 2018-10-02 15:17 - 2018-10-02 15:32 - 000000000 ____D C:\ProgramData\indus Virustotal: C:\Windows\SysWOW64\2.exe Virustotal: C:\ProgramData\lsass.exe 2018-10-02 15:17 - 2018-09-06 17:18 - 006488081 _____ (indus ) C:\Windows\SysWOW64\2.exe 2018-10-02 13:25 - 2018-10-02 15:04 - 001283756 _____ C:\ProgramData\lsass.exe C:\Windows\System32\MRT.exe CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{2B72955E-067A-4260-AEF5-44746A775C53}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{4A47337B-9E36-4764-84B5-B887A9793BEA}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{7C72CC73-929C-49B3-9ED6-AB14189A7561}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{8A8F9690-5695-42D5-AD50-6FA695F8B634}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{A7D7AF40-3637-49C1-B2EC-C9BBE2D23A23}\localserver32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{B7084870-C193-43D3-881E-EC07EA818BB9}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{CAC2E2EE-DB1F-421C-83CE-DEFA4E4EA90F}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-4233881519-445824335-4184825769-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> no filepath Task: {4C915D7D-FD61-42DF-ACD3-AAF1F4C8C460} - \AutoKMS -> No File <==== ATTENTION CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{02010D42-66F5-439A-A522-0553908A1988}_is1" /f /reg:32 Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Ок. Готово
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
WBR,
Vadim
Ок. готово. Спасибо
Уважаемый(ая) VG20ET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
