Доброго. Помогите пожалуйста, не устанавливается kvrt после атаки вирусами. Папка темп весила 160 примерно гб. Проверку сделала курейтом, обнаружены были вирусы. А вот kvrt не хочет запускаться.
Кроме того, с моего компа пытались в моем аккаунте телеграмм выманить деньги.теперь не получается зайти с телефона в аккаунт.
Но в компьютере в телеграмм заходит, я успела сбросить пароли,пришлось несколько раз это сделать.
В реестре не меняется защитник виндовс на 0, висит 1.
Не дает менять.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) EVS8, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\Prayer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\CardRecovery.lnk" -> ["C:\Users\Prayer\Downloads\CardRecovery v6.10 Build 1210 Final + Portable Ml_Rus\CardRecovery.exe"] >>> "C:\Users\Prayer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Telegram Desktop.lnk" -> ["C:\Users\Prayer\Desktop\Новая папка\Telegram.exe"] >>> "C:\Users\Prayer\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk" -> ["C:\Users\Prayer\AppData\Local\Viber\Viber.exe" =>> ShareFiles] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Killer\Сбросить настройки браузера.lnk" -> ["C:\Program Files\Trojan Killer\tk.exe" =>> -rbs] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Killer\Удаление.lnk" -> ["C:\Program Files\Trojan Killer\unins000.exe"] >>> "C:\Users\Prayer\Desktop\ilovepdf_pages-to-jpg\Супер Корова.lnk" -> ["C:\Games\Супер Корова\game\nsgame.exe"] >>> "C:\Users\Prayer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Супер Корова.lnk" -> ["C:\Games\Супер Корова\game\nsgame.exe"]
Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
Скачайте актуальную версию Autologger по первой ссылке из правил.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders, L_SID : TStringList; i : integer; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('Doctor Web'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin AddToLog(fname + ' - Exists'); FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure Del_c_rdp; var c_rdp: string; begin c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp'); if DirectoryExists(NormalDir(c_rdp)) then begin AddToLog(c_rdp + ' - Exists'); FSResetSecurity(c_rdp); QuarantineFile(c_rdp + 'RDPWInst.exe', ''); DeleteFile(c_rdp + 'RDPWInst.exe'); DeleteDirectory(c_rdp); end; end; procedure Del_DisallowRun(SID_Name : string); const PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\'; DR = 'DisallowRun'; begin if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then begin AddToLog('HKEY_USERS\' + SID_Name + PolExplKey + DR + ' - Exists'); BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name); RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR); RegKeyParamDel('HKEY_USERS', SID_Name + PolExplKey, DR); end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; // SetupAVZ('debug=y'); if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); Del_c_rdp; if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); L_SID := TStringList.Create; RegKeyEnumKey('HKEY_USERS', '\', L_SID); for i:= 0 to L_SID.Count-1 do Del_DisallowRun(L_SID[i]); L_SID.Free; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 2, true); ExecuteSysClean; end; begin AV_block_remove; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Спасибо за быстрый ответ.
Все сделала, вот отчёты.
Во время выполнения интернет был отключен, или нужно было включить?
- - - - -Добавлено - - - - -
Карантин загрузила
В данном случае неважно.Сообщение от EVS8
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION Task: {3F6A04A3-538F-420A-BB2F-67A79C518057} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] CHR HKLM\...\Chrome\Extension: [moihledlmchhofenpacbhphnbnpakgmo] CHR HKU\S-1-5-21-4198356160-3777544905-1936113563-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [moihledlmchhofenpacbhphnbnpakgmo] S3 NAVENG; \??\C:\Program Files\Norton 360\NortonData\22.5.2.15\Definitions\SDSDefs\20201009.008\NAVENG.SYS [X] S3 NAVEX15; \??\C:\Program Files\Norton 360\NortonData\22.5.2.15\Definitions\SDSDefs\20201009.008\NAVEX15.SYS [X] 2021-01-22 08:10 - 2021-01-22 08:10 - 000007168 _____ C:\Windows\system32\Drivers\utc2ota4.sys 2021-01-22 02:34 - 2021-01-22 02:41 - 000007168 _____ C:\Windows\system32\Drivers\utc2ota5.sys Folder: C:\ProgramData\a53e48988c0aef 2020-12-23 12:11 - 2020-12-23 12:11 - 000000000 ____D C:\ProgramData\a53e48988c0aef Folder: C:\ProgramData\152141983561603777544905 2020-12-23 12:11 - 2020-12-23 12:11 - 000000000 _____ C:\ProgramData\152141983561603777544905 2021-01-22 07:52 - 2020-10-06 12:18 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Killer 2020-08-18 11:24 - 2017-12-28 00:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [502] FirewallRules: [{008016DA-022C-45AE-9137-D757B192C10E}] => (Allow) C:\Users\Prayer\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => No File FirewallRules: [{12A2B753-5AFA-4C7E-B2DE-24DBFC0B594C}] => (Allow) C:\Users\Prayer\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => No File FirewallRules: [{B9036EE1-35B0-4D99-80FE-3A2C6574293F}] => (Allow) C:\Users\Prayer\AppData\Local\Temp\DriverPack-20190819164850\tools\aria2c.exe => No File FirewallRules: [{6B13C7E2-6AB9-4FEF-9360-95CC52D8D08C}] => (Allow) C:\Users\Prayer\AppData\Local\Programs\Opera\63.0.3368.107\opera.exe => No File FirewallRules: [{06DF5173-532F-45E1-ABCA-6F69E523BF2B}] => (Allow) C:\Users\Prayer\AppData\Local\Programs\Opera\64.0.3417.92\opera.exe => No File FirewallRules: [{B834E052-7B2D-4CCB-9FDC-2F6D9674C606}] => (Block) LPort=139 FirewallRules: [{23EDB5B4-92C6-4FB6-B63A-82EE6BF2EDB7}] => (Block) LPort=445 FirewallRules: [{66EAFE1E-A286-4728-B0F4-52CE9A857429}] => (Block) LPort=139 FirewallRules: [{74986825-9E3E-4A2A-8282-71CA40FE0C75}] => (Block) LPort=445 FirewallRules: [{67C015D7-C528-40D4-9995-22CC0A42006C}] => (Allow) LPort=3389 FirewallRules: [{4BD8062E-09AE-44D7-99C4-35E3B5E4233E}] => (Allow) LPort=3389 FirewallRules: [TCP Query User{069C9BB1-8BA9-4A9C-B413-7C2AE94F932A}C:\program files\avast\avastui.exe] => (Allow) C:\program files\avast\avastui.exe => No File FirewallRules: [UDP Query User{F9DC9A06-7EAC-4686-9E7A-1030217FABA3}C:\program files\avast\avastui.exe] => (Allow) C:\program files\avast\avastui.exe => No File Reboot: End::
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Сделала.
По проблеме- Kvrt запустился,нашел 3 обьекта, удалил, перезагрузился, еще один вылечил. Проверяет до сих пор еще.
Какой ставить после этого антивирус и как настроить безопасность, закрыть доступы?
Антивирус на такую слабую систему, пожалуй, только Microsoft Security Essentials
Доступы закрыть - что имеете ввиду? Системный брандмауэр и файрволл роутера с настройками по умолчанию закрывают надёжно удалённый доступ.
Проблема в том, что большинству посетителей этого форума и антивирус не сильно помогает - надо запустить крякнутую игру, на неё же ругаться будет, так отключим. И получим майнер и бэкдор впридачу.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Последний раз редактировалось Vvvyg; 22.01.2021 в 20:08.
WBR,
Vadim
Телеграмм удалось в телефоне поставить.
В компе кажется увеличилась скорость.
Согласна, глупые фатальные ошибки, сама их совершала.
Вы и эту утилиту без интернета запускали?
Переделайте, она базы скачивает с интернета.
WBR,
Vadim
Скачались обновления системы и стала чувствоваться нагрузка на комп. Несильно. Но есть.
Вот с интернетом.
Сразу после установки обновлений - это нормально. Тем более, теперь антивирус есть.
Порядок, думаю.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 10
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\programdata\install\cheat.exe - [B]Trojan.Win32.Agentb.khzd[=
/B]- c:\programdata\install\utorrent.exe - Trojan-PSW.Win32.Delf.=
aidq- c:\programdata\setup\update.exe - UDS:Trojan.Win32.Miner=
- c:\programdata\windowstask\azur.exe - Trojan-PSW.Win32.Delf.=
aidq ( AVAST4: Win32:PWSX-gen [Trj] )- c:\programdata\windowstask\sys.exe - HEUR:Trojan-Downloader.=
Win32.Deyma.gen ( AVAST4: Win32:PWSX-gen [Trj] )- c:\programdata\windowstask\system.exe - HEUR:Trojan-Spy.MSIL=
=2EStealer.gen ( AVAST4: Win32:PWSX-gen [Trj] )- c:\rdp\rdpwinst.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.h=
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
- =CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 !
Уважаемый(ая) EVS8, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
