-
Junior Member
- Вес репутации
- 13
worm win32 autorun iea не могу удалить
На протяжении месяца не получается избавиться от вируса, постоянно создает файлы с расширением *.exe *.scr *.bat *.rar иногда сам пропадает но через определенное время появляется снова. И это происходит только в папке с открытым доступом в сети
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) sett61rus, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Выполните скрипт в AVZ из папки Autologger:
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\kaaxdplw.sys', '');
DeleteFile('C:\WINDOWS\system32\drivers\kaaxdplw.sys', '32');
DeleteService('atepljzk');
DeleteService('bgwlfpnt');
DeleteService('bxisnwmv');
DeleteService('cvcxpoxf');
DeleteService('cxtfsahw');
DeleteService('dlttwjab');
DeleteService('dnttdatz');
DeleteService('eifsnfcs');
DeleteService('euvnwsbk');
DeleteService('fhigmggs');
DeleteService('geulthzg');
DeleteService('hluotjav');
DeleteService('huklxjmv');
DeleteService('iykqtxau');
DeleteService('jeihmyev');
DeleteService('jfcwercy');
DeleteService('jxjeqonb');
DeleteService('jydbklqv');
DeleteService('kaaxdplw');
DeleteService('kdrbuimi');
DeleteService('mlbqvkrd');
DeleteService('nnihkijd');
DeleteService('nudkmjbl');
DeleteService('nzeqjwwv');
DeleteService('nzldxadu');
DeleteService('ocbulpvu');
DeleteService('pcgqwdib');
DeleteService('qystxlmi');
DeleteService('rgxfxbtg');
DeleteService('rveolrem');
DeleteService('rybepxew');
DeleteService('svjcoujw');
DeleteService('tyzrcpau');
DeleteService('uinwalhp');
DeleteService('wcljvbiq');
DeleteService('zxyvwejw');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
Код:
O4 - HKLM\..\StartupApproved\Run: [AVGUI.exe] = C:\Program Files\AVG\Antivirus\AvLaunch.exe /gui (file missing) (2020/07/29)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_2: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_3: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_4: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_5: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_6: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_7: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_8: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_2: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_3: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_4: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_5: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_6: (no name) - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_7: (no name) - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_8: (no name) - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O22 - Task: AMDInstallUEP - C:\Program Files\AMD\InstallUEP\AMDInstallUEP.exe (file missing)
O22 - Task: Antivirus Emergency Update - C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (file missing)
O22 - Task: SpyHunter4Startup - C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe /s (file missing)
Раз зловреды только в шарах появляются, ищите источник заразы на других компьютерах, на этом только мусор чистим.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
-
-
Junior Member
- Вес репутации
- 13
-
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст.
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-3629615529-2607546987-3915439034-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
S1 eqxmqlcq; \??\C:\WINDOWS\system32\drivers\eqxmqlcq.sys [X]
S1 gbrwdbvo; \??\C:\WINDOWS\system32\drivers\gbrwdbvo.sys [X]
S1 hskasquy; \??\C:\WINDOWS\system32\drivers\hskasquy.sys [X]
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
FirewallRules: [{40E174B8-8E1E-4AFE-975A-C475C61D3341}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
FirewallRules: [{24455028-DDE9-434F-AFA8-3B3247C7104B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
FirewallRules: [{590FBD71-EB14-4163-9035-D2B21EA2027B}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => No File
FirewallRules: [{EDEEBDC4-A123-4266-A98A-9382F494BC8D}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => No File
FirewallRules: [{6D242597-1A55-4AD0-8058-FCC167A1A803}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => No File
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
-
-
Junior Member
- Вес репутации
- 13
-
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Мусор почистили, источники сетевого червя ищите на других компьютерах, лечите KVRT или Dr. Web CureIt!, отключив от сети предварительно.
Пока все компьютеры не зачистите, в сеть лучше их не подключать.
-