Показано с 1 по 12 из 12.

Помогите возможно ПК заражен вирусом-Кейлоггером (заявка № 226690)

  1. #1
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20

    Помогите возможно ПК заражен вирусом-Кейлоггером

    Уважаемые форумчане!


    Помогите, пожалуйста, избавиться от вируса.

    Проблема заключается в следующем: антивирус зафиксировал перенаправление на очень подозрительный сайт e1.emxdgt.com.
    Сам антивирус этот сайт не особо блокирует, где-то на форумах прочитал что подобная активность связанна скорее всего с деятельностью кейлогера,
    находящегося в системе. Сам я кейлоггер не устанавливал - не знаю откуда взялся. Не могу его обнаружить и удалить. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,301
    Вес репутации
    363
    Уважаемый(ая) Alex245, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,576
    Вес репутации
    129
    Здравствуйте!


    Цитата Сообщение от Alex245 Посмотреть сообщение
    антивирус зафиксировал перенаправление на очень подозрительный сайт
    Какой браузер в это время был активен?

    "Пофиксите" в HijackThis:
    Код:
    O4 - MSConfig\startupreg: CTxfiHlp [command] = CTXFIHLP.EXE (HKLM) (2021/04/06) (file missing)
    O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
    Затем:
    • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
    • Прикрепите отчет к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20
    Запускал барузер MS EDGE

    - - - - -Добавлено - - - - -

    Результаты сканирования AdwCleaner
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,576
    Вес репутации
    129
    Дополнительно:
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20
    Логи программы FRST
    Вложения Вложения

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,576
    Вес репутации
    129
    Утилиты следует запускать правой кнопкой от имени администратора:
    Запущено с помощью Рабочая (ВНИМАНИЕ: Пользователь не является Администратором) на PC-277380ALEX
    Удалите эти логи в корзину и соберите новые.

  9. #8
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20
    Логи FRST под администратором
    Вложения Вложения

  10. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,576
    Вес репутации
    129
    Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      SystemRestore: On
      CreateRestorePoint:
      HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
      U3 avgbdisk; отсутствует ImagePath
      S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
      S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
      2021-04-06 11:51 - 2021-04-06 13:28 - 000000000 ____D C:\Program Files (x86)\MalwareFox AntiMalware
      2021-04-06 11:51 - 2021-04-06 12:25 - 000019543 _____ C:\Windows\ZAM_Guard.krnl.trace
      2021-04-06 11:51 - 2021-04-06 12:13 - 000055458 _____ C:\Windows\ZAM.krnl.trace
      2021-04-06 11:51 - 2021-04-06 11:51 - 000000000 ____D C:\Users\Рабочая\AppData\Local\Zemana
      2021-04-06 11:51 - 2021-04-06 11:51 - 000000000 ____D C:\Users\Алексей\AppData\Local\Zemana
      WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
      WMI:subscription\__FilterToConsumerBinding->NTEventLogEventConsumer.Name=\"_LogWMIConsumerEvent_\"",Filter="__EventFilter.Name=\"_PersistenceEvent_\"::
      WMI:subscription\__FilterToConsumerBinding->NTEventLogEventConsumer.Name=\"_LogWMIProcessCreationEvent_\"",Filter="__EventFilter.Name=\"_ProcessCreationEvent_\"::
      WMI:subscription\__EventFilter->_PersistenceEvent_::[Query => SELECT * FROM __InstanceCreationEvent WITHIN 5 Where TargetInstance ISA "__EventConsumer"]
      WMI:subscription\__EventFilter->_ProcessCreationEvent_::[Query => SELECT * FROM MSFT_WmiProvider_ExecMethodAsyncEvent_Pre WHERE ObjectPath="Win32_Process" AND MethodName="Create"]
      WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
      WMI:subscription\NTEventLogEventConsumer->_LogWMIProcessCreationEvent_::
      WMI:subscription\NTEventLogEventConsumer->_LogWMIConsumerEvent_::
      WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
      Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
      Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
      Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
      Toolbar: HKU\S-1-5-21-1630749863-2402276750-1178196111-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
      FirewallRules: [{20CE1F1C-8C91-4D28-91A8-674910EB755A}] => (Block) LPort=135
      EmptyTemp:
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер будет перезагружен автоматически.

  11. #10
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20
    Лог FRST fixlog.txt
    Вложения Вложения

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,576
    Вес репутации
    129
    Это перенаправление появляется постоянно или редко?
    К сети подключаетесь через роутер? Если да, одно устройство?

    Понаблюдайте и сообщите будет ли повторяться.

  13. #12
    Junior Member Репутация
    Регистрация
    24.11.2015
    Сообщений
    17
    Вес репутации
    20
    Перенаправление редко, к сети подключен через роутер. устройств несколько, но не windows

Похожие темы

  1. Помогите!Мой ноут заражен вирусом Эбола
    От Avtobob в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 30.11.2014, 11:04
  2. Ответов: 8
    Последнее сообщение: 05.03.2013, 23:32
  3. Ответов: 9
    Последнее сообщение: 26.04.2010, 11:52
  4. Ответов: 2
    Последнее сообщение: 07.10.2009, 22:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00719 seconds with 20 queries