На протяжении месяца не получается избавиться от вируса, постоянно создает файлы с расширением *.exe *.scr *.bat *.rar иногда сам пропадает но через определенное время появляется снова. И это происходит только в папке с открытым доступом в сети
На протяжении месяца не получается избавиться от вируса, постоянно создает файлы с расширением *.exe *.scr *.bat *.rar иногда сам пропадает но через определенное время появляется снова. И это происходит только в папке с открытым доступом в сети
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sett61rus, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger:Компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\drivers\kaaxdplw.sys', ''); DeleteFile('C:\WINDOWS\system32\drivers\kaaxdplw.sys', '32'); DeleteService('atepljzk'); DeleteService('bgwlfpnt'); DeleteService('bxisnwmv'); DeleteService('cvcxpoxf'); DeleteService('cxtfsahw'); DeleteService('dlttwjab'); DeleteService('dnttdatz'); DeleteService('eifsnfcs'); DeleteService('euvnwsbk'); DeleteService('fhigmggs'); DeleteService('geulthzg'); DeleteService('hluotjav'); DeleteService('huklxjmv'); DeleteService('iykqtxau'); DeleteService('jeihmyev'); DeleteService('jfcwercy'); DeleteService('jxjeqonb'); DeleteService('jydbklqv'); DeleteService('kaaxdplw'); DeleteService('kdrbuimi'); DeleteService('mlbqvkrd'); DeleteService('nnihkijd'); DeleteService('nudkmjbl'); DeleteService('nzeqjwwv'); DeleteService('nzldxadu'); DeleteService('ocbulpvu'); DeleteService('pcgqwdib'); DeleteService('qystxlmi'); DeleteService('rgxfxbtg'); DeleteService('rveolrem'); DeleteService('rybepxew'); DeleteService('svjcoujw'); DeleteService('tyzrcpau'); DeleteService('uinwalhp'); DeleteService('wcljvbiq'); DeleteService('zxyvwejw'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Раз зловреды только в шарах появляются, ищите источник заразы на других компьютерах, на этом только мусор чистим.Код:O4 - HKLM\..\StartupApproved\Run: [AVGUI.exe] = C:\Program Files\AVG\Antivirus\AvLaunch.exe /gui (file missing) (2020/07/29) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_2: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_3: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_4: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_5: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_6: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_7: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_8: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_2: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_3: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_4: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_5: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_6: (no name) - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_7: (no name) - {057E631A-726E-4193-BB37-377DBD42812A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_8: (no name) - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file) O22 - Task: AMDInstallUEP - C:\Program Files\AMD\InstallUEP\AMDInstallUEP.exe (file missing) O22 - Task: Antivirus Emergency Update - C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (file missing) O22 - Task: SpyHunter4Startup - C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe /s (file missing)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Файлы во вложении
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] S1 eqxmqlcq; \??\C:\WINDOWS\system32\drivers\eqxmqlcq.sys [X] S1 gbrwdbvo; \??\C:\WINDOWS\system32\drivers\gbrwdbvo.sys [X] S1 hskasquy; \??\C:\WINDOWS\system32\drivers\hskasquy.sys [X] HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk" FirewallRules: [{40E174B8-8E1E-4AFE-975A-C475C61D3341}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File FirewallRules: [{24455028-DDE9-434F-AFA8-3B3247C7104B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File FirewallRules: [{590FBD71-EB14-4163-9035-D2B21EA2027B}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => No File FirewallRules: [{EDEEBDC4-A123-4266-A98A-9382F494BC8D}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => No File FirewallRules: [{6D242597-1A55-4AD0-8058-FCC167A1A803}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => No File End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
...
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Мусор почистили, источники сетевого червя ищите на других компьютерах, лечите KVRT или Dr. Web CureIt!, отключив от сети предварительно.
Пока все компьютеры не зачистите, в сеть лучше их не подключать.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
