Ещё раз, пожалуйста, пройдитесь KVRT с лечением найденного. После перезагрузки соберите свежий CollectionLog Автологером.
Ещё раз, пожалуйста, пройдитесь KVRT с лечением найденного. После перезагрузки соберите свежий CollectionLog Автологером.
Всё сделал, вроде как чисто, проверьте пожалуйста.
Вручную удалите папку:
C:\Users\Ultra\appdata\local\temp\csrss\
C:\Users\Ultra\appdata\local\temp\csrss\ по этому пути не было папки
C:\Users\УльтраАндрей\appdata\local\temp\csrss\ удалил
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Не устанавливается приложение.
Возникла ошибка, из-за которой невозможно установить программу Malwarebytes на Ваш компьютер.
Сделайте, пожалуйста, ещё раз полную проверку KVRT и пришлите отчёт.
- - - - -Добавлено - - - - -
Предварительно покажите скриншот этой ошибки.
Лог проверки и скрин во вложении.
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Запустите файл TDSSKiller.exe.
- Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
- В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
- По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
- Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
- Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
- Самостоятельно без указания консультанта ничего не удаляйте!!!
- После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
- Прикрепите лог утилиты к своему следующему сообщению
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
Файл во вложении
Просканируйте ещё раз и удалите всё найденное.
Лог во вложении
Ещё раз, пожалуйста, соберите лог uVS (инструкция в сообщении №9).
Лог во вложении
Закройте заранее все программы, отключите до перезагрузки антивирус.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- sreg zoo %SystemRoot%\WINDEFENDER.EXE addsgn 9252628A3E6AC1CCE02B7A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.SpyBot.795 [DrWeb] 7 zoo %SystemDrive%\USERS\ULTRA\APPDATA\LOCAL\TEMP\CSRSS\3A10368C3899.EXE addsgn 71D16E15176A4C7D8FAAAFB16469038A678A7CCE608F12380EDB467C54D5B2EF23978B5754553CA18BC6846096B54D7A35DF632A69597328A46AACAF8F062176 8 Trojan.Win32.Kepiten.a [Kaspersky] 7 zoo %SystemDrive%\USERS\ULTRA\APPDATA\LOCAL\TEMP\CSRSS\WW24.EXE addsgn 1B37AD65AAA680BEC718627DA804DEC9AEC6D8F20A1637F1D9E7D9353CF261C55733D7DE427185C0EDE40F8A521649FAFE25E8075262B02C2D774F424C942273 8 Trojan.Siggen10.33566 [DrWeb] 7 zoo %SystemRoot%\RSS\CSRSS.EXE addsgn 1A2C3B9A5583348CF42B254E3143FE5476DCAB09BC1EFF6B802BD8A350D68E79C3F7D052B5AD1434D76889804616C20A2486D3855A58332C2D772FF1ECD9AF30 8 Trojan:Win32/CryptInject!ml [Microsoft] 7 zoo %SystemDrive%\USERS\ULTRA\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE addsgn 1A2C3B9A5583348CF42B254E3143FE5476DCAB09BC9EC06B802BD8A350D68E7943C8D052B5AD1434D76889804616C20A2486D3855A58332C2D772FF1ECD9AF30 8 Trojan:Win32/CryptInject!ml [Microsoft] 7 zoo %Sys32%\DRIVERS\WINMON.SYS addsgn 79132211B982955C0BD4F3587B37EDFAAE75A97D65ACA138B583C5EBDB18CE0C1357C364FE6E523A1703BAB33324C2BC5D891747C9ECF02CA442E01F8706DD06 16 Win32/Rootkit.Agent.OCH [ESET-NOD32] 7 zoo %Sys32%\DRIVERS\WINMONFS.SYS addsgn 79132211B9824A720BD4F3586037EDFAAE75A97D65AB4ED9819385BCE998970C989203233A6E5C3C3E8FB5AA424609FADEDBB83255AFB7A7ECD4A07F8706D5A3 13 VirTool:WinNT/Glupteba.B [Microsoft] 7 zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS addsgn 79132211B982470D0BD4F3587B37EDFAAE75A97D65ACA1480583C5EBDB18CE7CA357C364FE6E523A1703BAB33324C2BC5D891747D95CF02CA44290AF8706DD06 24 Trojan.Rootkit.22045 [DrWeb] 7 zoo %SystemDrive%\USERS\УЛЬТРААНДРЕЙ\APPDATA\ROAMING\EF8E20DE4084\EF8E20DE4084.EXE zoo %SystemDrive%\USERS\ULTRA\APPDATA\ROAMING\3A10368C3899\3A10368C3899.EXE chklst delvir deldir %SystemDrive%\USERS\ULTRA\APPDATA\LOCAL\TEMP\CSRSS deldir %SystemDrive%\USERS\УЛЬТРААНДРЕЙ\APPDATA\ROAMING\EF8E20DE4084 deldir %SystemDrive%\USERS\ULTRA\APPDATA\ROAMING\3A10368C3899 deltsk HTTPS://BABSITEF.COM/APP/APP.EXE deltmp czoo apply cexec tools\CreateRestorePoint.exe BeforeCure areg
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Карантин отправлен, лог во вложении.
По логу судя, всё успешно удалено.
Сделайте новый лог Farbar Recovery Scan Tool (сообщение #15).
WBR,
Vadim
Файл во вложении.
Печаль, C:\Windows\windefender.exe выжил
Лечитесь с загрузочного диска/USB, пожалуй: Dr.Web LiveUSB или Kaspersky Rescue Disk
Можно ещё пролечить с помощью UVS с загрузочного диска, если есть WinPE под рукой.
WBR,
Vadim
Пролечил с помощью Kaspersky Rescue Disk, просканировал еще раз с помощью FRST, посмотрите пожалуйста на наличие гадостей.
Уважаемый(ая) ds.80, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.