Закрыто mem:trojan.multi.goppel.gen как удалить

Статус
В этой теме нельзя размещать новые ответы.

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#1
Подхватил где-то эту гадость не могу удалить, к тому же он поменял пароль в учетной записи, что делать?
 

akok

Команда форума
Администратор
Сообщения
15,766
Симпатии
12,721
Баллы
2,203
#4
Без логов нет не сможем.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,273
Симпатии
5,864
Баллы
918
#6
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников Яндекс.Диск , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing , Быстрый обмен файлами и дайте на него ссылку в Вашей теме.
 

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#7
все сделано
 

Вложения

  • 664 байт Просмотры: 27

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,273
Симпатии
5,864
Баллы
918
#8
я так понимаю сбор логов вы несколько раз запускали. Репорты собраны как раз во время работы Автологера. Прикрепите тогда свежий архив с логами, в этом не полный комплект.
 

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#10
я так понимаю сбор логов вы несколько раз запускали. Репорты собраны как раз во время работы Автологера. Прикрепите тогда свежий архив с логами, в этом не полный комплект.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,766
Симпатии
12,721
Баллы
2,203
#11
Проверьте на VirusTotal файлы c:\windows\system32\dscbtgwsvc.exe и C:\Program Files (x86)\Intel\Intel(R)\Manager\bin\iumsvc.exe ссылки на результаты опубликуйте в теме

В двух последних комплектов логов нет AVZ, так, что работаем по старым.

ByteFence - деинсталируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetServiceStart('behlor', 4);
SetServiceStart('ilpsvy', 4);
SetServiceStart('knquxa', 4);
SetServiceStart('osvycf', 4);
SetServiceStart('psvzcf', 4);
SetServiceStart('ResTCPSvc', 4);
SetServiceStart('TCPSvc', 4);
SetServiceStart('xadgkn', 4);
SetServiceStart('ycfilp', 4);
QuarantineFile('C:\PROGRA~2\EASTER~1\EGR-SH~1\Win64\egr_se.dll', '');
QuarantineFile('C:\Program Files\SystemaRev\RevServicesX\SystemUpdate64x.exe', '');
QuarantineFile('C:\Users\хп\AppData\Local\comd\semi.vbs', '');
QuarantineFile('C:\Users\хп\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '');
QuarantineFile('C:\Users\хп\AppData\Local\Temp\csrss\i2pd\i2pd.exe', '');
QuarantineFile('C:\Users\хп\AppData\Roaming\Onetabber\python\pythonw.exe', '');
QuarantineFile('C:\WINDOWS\srv_ext.exe', '');
QuarantineFile('C:\WINDOWS\system32\drivers\dgknqt.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\hkoruy.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\osvycf.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\quxadh.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\rtoybfil.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\usrilmox.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\uxadhk.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\vybfil.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\vzcfim.sys', '');
QuarantineFile('C:\WINDOWS\system32\optsatadc.dll', '');
QuarantineFile('C:\WINDOWS\winmain64.exe', '');
QuarantineFile('F:\autorun.inf', '');
QuarantineFileF('C:\Users\хп\AppData\Local\Temp\csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask('C:\Users\хп\AppData\Local\Temp\csrss', '*', true);
DeleteDirectory('C:\Users\хп\AppData\Local\Temp\csrss');
DeleteFile('C:\Users\хп\AppData\Local\comd\semi.vbs', '64');
DeleteFile('C:\Users\хп\AppData\Local\Kometa\StartButton\kometastartvx64.exe', '64');
DeleteFile('C:\Users\хп\AppData\Local\Temp\csrss\i2pd\i2pd.exe', '64');
DeleteFile('C:\Users\хп\AppData\Local\Temp\csrss\proxy\tor.exe', '64');
DeleteFile('C:\Users\хп\AppData\Roaming\Onetabber\python\pythonw.exe', '64');
DeleteFile('C:\WINDOWS\srv_ext.exe', '64');
DeleteFile('C:\WINDOWS\system32\drivers\dgknqt.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\filosv.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\hkoruy.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\osvycf.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\quxadh.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\rtoybfil.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\usrilmox.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\uxadhk.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\vybfil.sys', '64');
DeleteFile('C:\WINDOWS\system32\drivers\vzcfim.sys', '64');
DeleteFile('C:\WINDOWS\system32\optsatadc.dll', '32');
DeleteFile('C:\WINDOWS\winmain64.exe', '64');
DeleteFile('F:\autorun.inf', '32');
DeleteService('behlor');
DeleteService('ilpsvy');
DeleteService('knquxa');
DeleteService('osvycf');
DeleteService('ResTCPSvc');
DeleteService('rwxlpkh');
DeleteService('TCPSvc');
DeleteService('xadgkn');
ExecuteFile('schtasks.exe', '/delete /TN "Device InformationTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdate32" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Onetabber" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Onetabber2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Optimize Menu Cache Files-S-1-5-21-3137030838-1234862642-1028795327v2" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте aswMBR и сохраните его на Рабочем столе.
  1. Запустите aswMBR.exe двойным щелчком мыши;
  2. Будет произведена попытка скачать обновления вирусных баз - (Если в системе установлен брандмауэр, разрешите доступ aswMBR.exe в сеть)
  3. Нажмите кнопку Scan для начала сканирования
  4. По окончанию сканирования нажмите кнопку Save log, сохраните лог на Рабочем столе.
  5. Прикрепите полученный лог к следующему сообщению.
Примечание: Не нажимайте никаких других кнопок (Fix, FixMBR) без прямого указания консультанта!!! При несоблюдении данного условия операционная система может прийти в неработоспособное состояние!!!


  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#12
@akok, C:\Program Files (x86)\Intel\Intel(R)\Manager\bin\iumsvc.exe у меня нет этого файла
ByteFence у меня не установлен
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,404
Симпатии
1,632
Баллы
433
#13
Делайте остальное.
 

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#14
VirusTotal
С asw проблемы он не может закончить проверку, система выдает ошибку вызванную этой утилитой и перезагружает комп. Лог который получается не похож на то что нужно, но я его тоже скинул. Архив с карантином я тоже отправил
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,404
Симпатии
1,632
Баллы
433
#15
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Сообщения
4,404
Симпатии
1,632
Баллы
433
#17
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3137030838-1234862642-1028795327-1001\...\Run: [zgqhrmfluk] => explorer "hxxp://vodarma.ru/?utm_source=uoua03&utm_content=40cdbb7e3d4c792cb1fd441dfeb542a4&utm_term=0DEF37FE5E5679F53F24D13EBEFA4FB8&utm_d=20180517&utm_medium=p_15528_" <==== ATTENTION
    HKU\S-1-5-21-3137030838-1234862642-1028795327-1001\...\Policies\Explorer: [] 
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\хп\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-01-09]
    FF Extension: (Поиск Mail.Ru) - C:\Users\хп\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-01-09]
    FF Extension: (Пульт) - C:\Users\хп\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-01-09]
    2018-06-11 16:54 - 2018-06-11 13:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\21A8.tmp.exe
    2018-06-11 16:53 - 2018-06-11 13:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\3AA4.tmp.exe
    2018-06-11 16:51 - 2018-06-11 13:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\6A2A.tmp.exe
    2018-06-11 12:34 - 2018-06-10 22:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\6A5F.tmp.exe
    2018-06-11 12:28 - 2018-06-10 22:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\7B1D.tmp.exe
    2018-06-11 13:01 - 2018-06-10 22:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\A441.tmp.exe
    2018-06-11 12:35 - 2018-06-10 22:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\D5B6.tmp.exe
    2018-06-11 16:47 - 2018-06-11 13:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\F46D.tmp.exe
    2018-06-11 12:32 - 2018-06-10 22:42 - 000967664 _____ () C:\Users\хп\AppData\Local\Temp\F989.tmp.exe
    Task: {09524EB5-2A6D-4533-9C97-D4F7CAB7808F} - \ComDev -> No File <==== ATTENTION
    Task: {130600AC-E9D5-4351-97ED-9DC3FDE5F26F} - \runtombroker -> No File <==== ATTENTION
    Task: {4090B521-948F-4320-940A-16962FE309B9} - \WobUIKhuMtTTi2 -> No File <==== ATTENTION
    Task: {9AF83B2B-C70B-49A5-880B-A73C9DEC5671} - System32\Tasks\Scheduled Update S1-8-22 => C:\WINDOWS\explorer.exe hxxp://ezelen.ru <==== ATTENTION
    Task: {B3F7F07E-92B8-4353-93DF-4783DD380AB3} - \curl -> No File <==== ATTENTION
    Task: {CB66D311-2714-4FFC-8B3E-FFF6E2FCA1F3} - \csrss -> No File <==== ATTENTION
    Task: {DAB29A59-FBD6-498B-9120-1A4C2FDFF544} - \curls -> No File <==== ATTENTION
    HKU\S-1-5-21-3137030838-1234862642-1028795327-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    Hosts:
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Сообщения объединены:

Затем в Хроме:
1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
C:\Users\хп\AppData\Local\Google\Chrome\
4. Скачайте и установите Хром заново.
 
Последнее редактирование:

артем

Новый пользователь
Сообщения
39
Симпатии
0
Баллы
6
#18
Вот файл, хром удален
dscbtgwsvc.sys этот файл антивирус обнаруживает как Rootkit.Win64.Agent.bbr
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,404
Симпатии
1,632
Баллы
433
#19
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

akok

Команда форума
Администратор
Сообщения
15,766
Симпатии
12,721
Баллы
2,203
#20
++++

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу