Показано с 1 по 13 из 13.

Вирусы из автозагрузки "Обработчик команд Windows" (заявка № 228719)

  1. #1
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49

    Вирусы из автозагрузки "Обработчик команд Windows"

    Здравствуйте! При запуске ПК активируется обработчик команд виндоус (в автозагрузках появился также), доктор веб курейт удалил часть вирусов но источник проблемы остался. Буду признателен за помощь!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    379
    Уважаемый(ая) Andromegas, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Program Files\google\chrome\updater.exe', '');
     DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
     DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
     DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64');
     DeleteFileMask('c:\programdata\reaitekhd', '*', true);
     DeleteDirectory('c:\programdata\reaitekhd');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Andromegas', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Andromegas', '64');
     DeleteSchedulerTask('Microsoft\Windows\SysFilesH\RecoveryTask');
     DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\CashClean');
     DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\MasterData');
     DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

    Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
    Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49
    Прошу прощения но скрипт не выполняется выдает ошибку "Ошибка скрипта: Too many actual parameters, позиция [9:16]", на всякий случай загружаю новый лог скана
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Ошибок в скрипте нет. Читайте внимательно, откуда нужно запускать AVZ.
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49
    Сделал, спасибо
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    deltmp
    sreg
    delref HTTPS://STARTMAIN.RU
    delref %SystemDrive%\USERS\ANDROM~1\APPDATA\LOCAL\TEMP\KMSAUTO X64.EXE
    delref %SystemDrive%\USERS\ANDROM~1\APPDATA\LOCAL\TEMP\KMSAUTO_FILES
    delref %SystemDrive%\ACTIVATORS\AACT V4.2.1 PORTABLE\AACT_FILES\KMSSS.EXE
    delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL
    delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2211.5-0
    delref %SystemDrive%\ACTIVATORS\AACT V4.2.1 PORTABLE\AACT_FILES
    delref %SystemDrive%\ACTIVATORS\AACT V4.2.1 PORTABLE\AACT_X64.EXE
    delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
    delref %SystemDrive%\USERS\ANDROMEGAS\APPDATA\LOCAL\BROWSERUPDPHENIX
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER
    apply
    areg
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  11. #8
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49
    Скрипт не заканчивает выполнение
    Изображения Изображения

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Ок, делайте лог Farbar Recovery Scan Tool.
    WBR,
    Vadim

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49
    Сделал!
    Вложения Вложения

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    PowerShell: Remove-MpPreference -ExclusionPath "C:\USERS\ANDROMEGAS\APPDATA\LOCAL\BROWSERUPDPHENIX"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    HKU\S-1-5-21-414999842-2864094964-1908021753-1000\...\Run: [GalaxyClient] => [X]
    CHR StartupUrls: Default -> "hxxps://startmain.ru"
    CHR DefaultSearchURL: Default -> hxxp://tupoisk.ru/?q={searchTerms}
    HKLM\...\StartupApproved\Run: => "Acronis Scheduler2 Service"
    HKU\S-1-5-21-414999842-2864094964-1908021753-1000\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
    HKU\S-1-5-21-414999842-2864094964-1908021753-1000\...\StartupApproved\Run: => "Andromegas"
    FirewallRules: [{853FB6F4-8805-4487-BF0A-4CA1687282CF}] => (Allow) C:\Users\Andromegas\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{4AE26B2F-37F6-496B-AB75-F0F8F5B0D852}] => (Allow) C:\Users\Andromegas\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    12.07.2011
    Адрес
    Новосибирск
    Сообщений
    106
    Вес репутации
    49
    Спасибо, да вроде всё хорошо сейчас
    Вложения Вложения

  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,982
    Вес репутации
    1070
    Удалите исключения защитника, сделанные вирусами - Параметры> обновления и безопасности > защита от вирусов.
    Выберите"Управление настройками".
    Выберите "Добавить или удалить исключения".
    В списке текущих исключений выберите упомянутые и - "Удалить".
    Код:
    C:\Users\Andromegas\AppData\Local\Browserupdphenix"
    C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2211.5-0"
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
    Компьютер перезагрузится.

    Java 8 - обе версии, включая x64, обязательно обновите до текущего билда, у Вас устаревшие, со множеством критических уязвимостей.

    На этом всё.
    WBR,
    Vadim

  19. Это понравилось:


Похожие темы

  1. Ответов: 4
    Последнее сообщение: 18.02.2024, 21:57
  2. Ответов: 6
    Последнее сообщение: 17.12.2023, 18:43
  3. вирус обработчик команд windows
    От pipendrusu в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 15.11.2019, 21:59
  4. Ответов: 11
    Последнее сообщение: 26.09.2018, 20:00
  5. Обработчик команд Windows [Trojan.BAT.Bitmin.t ]
    От wwwincognitowww в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 09.01.2018, 07:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01377 seconds with 18 queries