Показано с 1 по 15 из 15.

Не пойму что я не смог удалить. Вирусы на компьютере (заявка № 227157)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1

    Не пойму что я не смог удалить. Вирусы на компьютере

    И так. Архивчик решил открыть. не помню уже какой.
    Пароли угнали, рассылка спама в дискорде. Вроде бы все поудалял и все было тихо но тут начались активности в гугл аккаунте, попытка смены паролей и прочие моменты.
    Пытался установить Malwarebytes Anti-Malware уходит 2 двойной перегруз и пишет что не может установить видел похожие проблемы на форуме.
    Ощущение что есть непосредственный доступ к компьютеру как пароли не поменяю им по барабану делают что хотят. помогите вылечиться пожалуйста!
    Виндовс переустанавливать нет никакого желания
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,297
    Вес репутации
    364
    Уважаемый(ая) kostiavnt, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
    Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    удалил какого то джона)
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    Это от майнера, левый пользователь.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\Users\79600\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartClock.lnk [2021-08-15] <==== ВНИМАНИЕ
    ShortcutTarget: SmartClock.lnk -> C:\Users\79600\AppData\Roaming\Smart Clock\SmartClock.exe (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    FF Plugin-x32: @ieinspector.com/ha_plugin -> C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV7\firefox\Components [2021-01-11] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
    S4 pubgame-updater; C:\WINDOWS\PublicGaming\appsetup.exe [X] <==== ВНИМАНИЕ
    S1 62YMvt; \??\C:\Users\79600\AppData\Roaming\62YMvt.sys [X]
    S3 ALSysIO; \??\C:\Users\79600\AppData\Local\Temp\ALSysIO64.sys [X] <==== ВНИМАНИЕ
    S0 d2701d39; System32\Drivers\d2701d39.sys [X]
    S0 klupd_d2701d39a_arkmon; System32\Drivers\klupd_d2701d39a_arkmon.sys [X]
    S3 klupd_d2701d39a_arkmon_7C26E231; \??\C:\KVRT2020_Data\Temp\7C26E231D8467114CDDF023653AFB7CB\klupd_d2701d39a_arkmon.sys [X]
    S0 klupd_d2701d39a_klbg; System32\Drivers\klupd_d2701d39a_klbg.sys [X]
    2021-08-15 01:18 - 2021-08-15 01:18 - 000225648 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_d2701d39a_mark.sys
    2021-08-15 00:41 - 2021-08-15 00:41 - 000138256 _____ (Doctor Web, Ltd.) C:\WINDOWS\system32\Drivers\21872fb8f.sys
    2021-08-15 00:21 - 2021-08-31 20:31 - 006826592 ____N C:\WINDOWS\system32\Drivers\1a30k93.sys
    Folder: C:\WINDOWS\rss
    Folder: C:\Users\79600\AppData\Roaming\ServiceMicrosoftApi
    2021-08-15 00:21 - 2021-08-15 09:21 - 000000000 __SHD C:\Users\79600\AppData\Roaming\ServiceMicrosoftApi
    2021-08-15 00:21 - 2021-08-15 00:41 - 000000000 ___HD C:\WINDOWS\rss
    021-08-15 00:21 - 2021-08-15 00:21 - 000000000 ____D C:\ProgramData\RIP2BBEORAYYCOOFJGSLQ13X7
    2021-08-15 00:15 - 2021-08-15 00:15 - 000000319 ___SH C:\WINDOWS\system32\s1a77b886ac3360fa.eoa
    2020-06-10 21:59 - 2021-08-03 10:25 - 002201296 _____ (Opera Software) C:\Program Files (x86)\launcher.exe.1629352913.old
    2020-06-10 21:59 - 2021-08-12 12:13 - 041841360 _____ (Opera Software) C:\Program Files (x86)\launcher.exe.1630476157.old
    2021-09-13 20:08 - 2021-09-13 20:21 - 007282984 _____ (Malwarebytes) C:\Program Files (x86)\MBAMInstallerService.exe
    2021-09-13 20:13 - 2021-09-13 20:41 - 000262624 _____ (Malwarebytes) C:\Program Files (x86)\mbemsg.exe
    2021-09-13 20:08 - 2021-09-13 20:07 - 002101944 _____ (Malwarebytes) C:\Program Files (x86)\mbuns.exe
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\d2701d39.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\d2701d39.sys => ""="Driver"
    FirewallRules: [{7970CEF0-7E58-4A89-9909-8D047C9B741D}] => (Allow) LPort=80
    FirewallRules: [{0B72E352-CED2-4D24-AD3A-A1C1781E9752}] => (Allow) C:\Users\79600\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{C0E51F33-E077-499A-835B-FC397D7680D4}] => (Allow) C:\Users\79600\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{6735811F-89BC-4CF3-8655-8A4171014D4B}] => (Allow) C:\Program Files (x86)\77.0.4054.298\opera.exe => Нет файла
    FirewallRules: [{976366DD-C441-4508-9303-EA22F051121C}] => (Allow) C:\WINDOWS\rss\csrss.exe => Нет файла
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Это от майнера, левый пользователь.
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    По сути я не замечал после моей первой чистки толком то движений кроме атаки на гугл.
    На что стоит обратить внимание?
    И огромное спасибо!

    upd
    Теперь смог установить малваребейтс прошел проверку много чего нашел.
    Вложения Вложения
    Последний раз редактировалось kostiavnt; 14.09.2021 в 13:15.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    Удалили остатки майнеров и некоторые блокировки.

    В Malwarebytes можно удалять всё найденное, только PUP.Optional.MailRu бесполезно, да и не нужно.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    Vvvyg, все сделал. огромное спасибо! я так понял дальше нечего дергаться?

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    Всё на этом.
    Аккуратнее, возможно, один из майнеров получили с левым Vmware.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    Vvvyg, кажись вирус на месте карта арчефачит жестко как будто майнер еще у меня

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    Если не влезет во вложения - в облачное хранилище и ссылку.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    экстренно сейвлю все фото. форматирую все винты и накатываю пустую систему. честно эт не возможно стало. но ту штуку ща сделаю

    - - - - -Добавлено - - - - -

    https://drive.google.com/file/d/1Mzc...ew?usp=sharing

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    CmdLine "D:\Program Files (x86)\Free Disk Analyzer\DiskAnalyzer.exe"
    Процесс создан 22:16:57 [2021.09.15]
    С момента создания 00:33:03
    CPU 10,92%
    CPU (1 core) 87,33%
    Во-первых жрёт процессор Free Disk Analyzer, удалите от греха.

    А во вторых, да, есть хитрый майнер, внедряющийся в системный процесс:
    CmdLine C:\WINDOWS\system32\lsass.exe
    Процесс создан 21:12:49 [2021.09.15]
    С момента создания 01:37:11
    CPU 24,66%
    CPU (1 core) 197,30%
    parentid = 964
    LISTEN 0.0.0.0:49664
    ESTABLISHED 192.168.1.111:65533 <-> 194.33.38.216:443
    LISTEN (0:0:0:0:0:0:0:0):49664 <-> (0:0:0:0:0:0:0:0):0
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12252
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12452
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12456
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12460
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12464
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12468
    Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [728], tid=12472
    Скачайте свежий KVRT, пролечите систему.. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

    Сообщите результат.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    13.09.2021
    Сообщений
    8
    Вес репутации
    1
    Поставил на проверку все, дополню

    - - - - -Добавлено - - - - -

    Vvvyg,
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,028
    Вес репутации
    993
    C:\Program Files (x86)\CyberTank\CyberTank.exe удалён. Полегчало?
    WBR,
    Vadim

Похожие темы

  1. Помогите!!! не пойму что с компом не пойму!
    От Tuningator в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 18.09.2014, 17:34
  2. Ответов: 1
    Последнее сообщение: 12.07.2011, 23:02
  3. Ответов: 5
    Последнее сообщение: 20.12.2010, 16:04
  4. AVZ не смог удалить вирус
    От maaloy_21 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 20.04.2010, 08:24
  5. SpyBot S&D не смог удалить трояна
    От kerom в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 08.10.2008, 17:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00748 seconds with 18 queries