• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Мой комп заражен вирусом, я в панике. Ничего не помогает, спасите!

Статус
В этой теме нельзя размещать новые ответы.

Conqueror_16

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Здравствуйте, я пришёл на этот форм впервые с целью спасти свой ноутбук. Я сижу на операционной системе Windows 10. Долго время сидел на Pro версии, сегодня после переустановки виндовс(опять же из за вируса), поставил себе домашную версию. Виндовс активирован активатором (KMS-AUTO). Так вот, к проблеме: я долгое время провожу за экраном ноутбука(играю, серфлю в браузере, монтирую), и вот просто, в один день, началась беда. Появился очень сильный вирус, который:
1) Блокирует работу диспетчера задач
2) Блокирует доступ к реестру
3) Блокирует ДАЖЕ доступ к файлам, и удаляет их иногда.
Чтобы открыть какой-либо файл, необходимо ОБЯЗАТЕЛЬНО запускать его от имени администратора, ибо вирус просто не даёт его открыть, он сделал себя администратором. Приведу пример: я запускаю лаунчер игры, хочу обновить игру, и тут, бац! И ошибка. Скачиваю Malwarbytes Anti-Malware, провожу сканирование, помещаю файлы в карантин — и всё заработало. Диспетчер, реестр, абсолютно всё работает. Казалось бы всё хорошо, точек восстановления нету, ничего не делаю опасного. Но через какое-то время (30 минут примерно), он появляеться заново (я проверяю его наличие вызовом Диспетчера Задач, при его вызове крутиться загрузка на 1 сек, и всё, сам он не открываеться). Если перезагрузить компьютер, он сразу появиться, а файлы начнут выдавать ошибки(нету доступа к файлам, некоторые удаленны).
Я прикрепил результат проверки Malwarbytes Anti-Malware. Большинство файлов зараженны вирусом Neshta.A. Но вот меня напрягает именно файл svchost.com. Как по мне, он и есть вирусом. Но вот проблема, где то в корнях системы сидит загрузчик троянов, который постоянно его восстанавливает. Я уже просто месяцами пытаюсь это решить, сколько я раз всё чистил, сколько я раз переустанавливал Windows — безрезультативно. Неужели это конец? Чтобы вы понимали, я сегодня чистую установку виндовс сделал (удаление системного диска), но без толку. Помогите мне пожалуйста, я уже действительно потерян, у меня больше нету идей как навсегда его убить и наконецто, пользоваться пк адекватно. Я прошу вас!!!
 

Вложения

Conqueror_16

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Вот лог после лечения.
Но программа сама началась, я видел, что ни один из дисков не был отмечен галочками, не знаю, так ли должно быть
UPD: Я выбрал сразу 2 вариант запуска, писало что на x64 работать не будет
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Spybot - Search & Destroy 2 - убирайте, он не нужен

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать ВСЕ при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Закачать при помощи Download Master: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Передать на удаленную закачку DM: (default) = (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
Еще какие проблемы наблюдаются после лечения?
 

Conqueror_16

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Вроде бы он, у меня удалён SpyBot, если что
Я вроде бы всё сделал, сейчас по рекомендациям пройдусь, что делать после лечения.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
В логах есть следы... дочистить бы

 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Значит проблем больше не наблюдается? Тогда финальные рекомендации

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Для чистки следов SpyBot подготовьте:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    KLM-x32\...\Run: [SDTray] => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
    S2 SDScannerService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" [X]
    S2 SDUpdateService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X]
    S2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [X]
    2020-05-30 18:26 - 2020-05-31 16:09 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
    2020-05-30 18:25 - 2020-05-30 21:33 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2020-05-30 18:25 - 2020-05-30 18:26 - 000000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
    2020-05-30 18:25 - 2020-05-30 18:26 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2018-03-23] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
    ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2018-03-23] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2018-03-23] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
    ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDECon64.dll [2018-03-23] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
    StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe] => Enabled:Spybot - Search & Destroy tray access
    StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe] => Enabled:Spybot-S&D 2 Scanner Service
    StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe] => Enabled:Spybot-S&D 2 Updater
    StandardProfile\AuthorizedApplications: [C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe] => Enabled:Spybot-S&D 2 Background update service
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.

Остались рекомендации из 8 поста и на этом все
 

Conqueror_16

Новый пользователь
Сообщения
8
Реакции
1
Баллы
3
Я вам очень благодарен, спасибо вам за всё! Очень надеюсь что это закончилось.
 

akok

Команда форума
Администратор
Сообщения
18,914
Реакции
14,006
Баллы
2,203
Хорошо, удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу