Поймал вирус на ноутбук

**Starch1nski** · 17.12.2020, 15:24

Давайте изложу все по порядку
1. Для начала в Opere GX перестали просто загружаться вкладки сначала через СКМ потом и просто, открыл обычную оперу всё норм.
Перезапустил ДЖИКС не перестала, захотел закрыть процесс через диспетчер задач но не тут то было, он сразу же закрывается. А если
не закрылся то при любой попытке взаимодействия закрывался.
2. Первый раз перезагрузил компьютер все осталось также. Диспетчер не запускается. Решил проверить и запустил ноут в безопасном режиме. Всё прекрасно работает как юраузер так и диспетчер.
3. Запустил в обычном теперь вылетать стали и бруазеры, стал замечать что ноут врубает куллеры на всю сразу после включения.
4. Открываю опять в безопаске лажу по установленным программам и ничего не нахожу. Смотрю в автозагрузки а там файл zarabotok отключил его но это всё равно не помогло( фото прикреплю с телефона.)
Вот такие делы. Сижу в безопасном не знаю что делать, пытался найти тот файл по расположению но его там нет, скрытые включены.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.12.2020, 15:25

Уважаемый(ая) Starch1nski, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 17.12.2020, 23:01

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\11111\appdata\roaming\microsoft\windows\start menu\programs\startup\ed2438b4519b838aac55b188f55cb68b.exe');
 QuarantineFile('c:\users\11111\appdata\roaming\microsoft\windows\start menu\programs\startup\ed2438b4519b838aac55b188f55cb68b.exe', '');
 QuarantineFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windriver.exe', '');
 QuarantineFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zarabotok.exe', '');
 QuarantineFileF('c:\users\11111\appdata\roaming\microsoft\windows\start menu\programs\startup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('c:\users\11111\appdata\roaming\microsoft\windows\start menu\programs\startup\ed2438b4519b838aac55b188f55cb68b.exe', '');
 DeleteFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ed2438b4519b838aac55b188f55cb68b.exe', '32');
 DeleteFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ed2438b4519b838aac55b188f55cb68b.exe', '64');
 DeleteFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windriver.exe', '64');
 DeleteFile('C:\Users\11111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zarabotok.exe', '64');
 DeleteFileMask('c:\users\11111\appdata\roaming\microsoft\windows\start menu\programs\startup', '*.exe', true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ed2438b4519b838aac55b188f55cb68b', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ed2438b4519b838aac55b188f55cb68b', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Synapse3', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^11111^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^windriver.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^11111^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^zarabotok.exe', '64');
 DeleteSchedulerTask('{0099F218-D4D1-41F6-A683-8B201F77B784}');
 DeleteSchedulerTask('{06554C75-C9E2-42FA-8109-B7543B3AC377}');
 DeleteSchedulerTask('{4F547928-2F07-48EF-BFC2-E94FD936F1C1}');
 DeleteSchedulerTask('{4FCD91A2-9D4D-4D8E-9405-F12313C70B47}');
 DeleteSchedulerTask('{6DE2DFA5-555E-4A3C-A225-8A516BD9FE20}');
 DeleteSchedulerTask('{7F1B03CB-5905-44A4-B97D-57F77CDFC8BA}');
 DeleteSchedulerTask('{8811AF14-A45D-4F57-ABC6-583A17594D7D}');
 DeleteSchedulerTask('{D4232F5E-A080-4B50-BF84-8726167A52EF}');
 DeleteSchedulerTask('{FF821336-655C-4A4B-90AD-BD725B1C4121}');
 DeleteSchedulerTask('BlueStacksHelper');
 DeleteSchedulerTask('Lenovo\Lenovo Customer Feedback Program 64 35');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Сделайте новый лог Autologger.

Поймал вирус на ноутбук (заявка № 226084)

Опции темы