Решена Mysa\Mysa1\Mysa2\Mysa3\ok\conhost.exe\lsmose.exe\conhost.exe\upsnew2.exe\64.exe
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку.
- Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat
Код:tdsskiller.exe -accepteula -accepteulaksn -qmbr -qboot - Запустите файл fix.bat и дождитесь завершения проверки.
- Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
- Заархивруйте эту папку с паролем malware. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, TDSSKiller.3.0.0.44_22.02.2015_16.35.23_log.txt
Отправил
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Отправили только логи без карантина, но логов оказалось достаточно. Проведите сканирование KVRT и удалите все найденное, после создайте свежий лог автологера
Провел сканирование, удалил все найденные файлы, антивирусники снова заработали, думаю, что помогло. Сейчас сделаю повторное сканирование и пришлю автолог
Повторное сканирование угроз не обнаружило
Последнее редактирование модератором:
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Если не используете, то лучше деинсталлировать:
Driver Booster
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
Driver Booster
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('46e7dc585330399c');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
QuarantineFile('C:\Windows\TEMP\671bc8a.sys', '');
QuarantineFile('c:\windows\debug\ok.dat','');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '64');
DeleteFile('C:\Windows\TEMP\671bc8a.sys', '64');
DeleteService('46e7dc585330399c');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser', 'x64');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'x64');
DeleteSchedulerTask('ok');
DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Хорошо, отпишусь теперь завтра вечером после работы
Так вышло, что после сканирования нажал удалить все найденные угрозы. При повторном сканировании ничего найдено не было.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Во втором архиве он есть.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Оба файла в архиве.
- Сообщения
- 16,842
- Решения
- 1
- Реакции
- 3,516
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Затем:
Подробнее читайте в этом руководстве.
Затем:
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: HKU\S-1-5-21-177374289-4038612420-1405281485-1001\...\MountPoints2: G - G:\setup.exe HKU\S-1-5-21-177374289-4038612420-1405281485-1001\...\MountPoints2: {be1d18bf-b453-11e5-9214-00240100af1e} - J:\Setup.exe GroupPolicy: Restriction - Windows Defender <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c1cb43e5-f309-4e54-b510-575d4a3e6441} <==== ATTENTION (Restriction - IP) HKU\S-1-5-21-177374289-4038612420-1405281485-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m URLSearchHook: HKU\S-1-5-21-177374289-4038612420-1405281485-1001 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File BHO: YoutubeDownloader -> {1406C6B3-50D9-4B6E-BE01-45AA2B4B4539} -> C:\Program Files (x86)\EIIaJzuwDIE\t0hYhjOQ.dll => No File BHO-x32: YoutubeDownloader -> {1406C6B3-50D9-4B6E-BE01-45AA2B4B4539} -> C:\Program Files (x86)\EIIaJzuwDIE\k94RbeU.dll => No File 2018-12-04 12:13 - 2018-12-04 18:00 - 000000000 ____D C:\ProgramData\Orbit Task: {1CC4CA15-4E3C-4CEA-A445-765BE36FD60E} - \RlLUtbkSCkXBRv -> No File <==== ATTENTION Task: {6053C97A-7C0B-492D-AF38-9E5BD1BCD39B} - \zEgtomEQyMibcTxMSKe2 -> No File <==== ATTENTION Task: {81B50EB8-0FCE-4D78-A20C-8FA5A8098800} - \Mysa1 -> No File <==== ATTENTION Task: {A90DFC4F-C824-4DED-97D0-19545ED38EC8} - \ZhobXZqRcxJizPRdl2 -> No File <==== ATTENTION Task: {B65E4F08-EE74-43F7-A16A-1A7C707C9510} - \VLLxKoxGmSTiNEy2 -> No File <==== ATTENTION Task: {DD34AE60-3E22-4FF8-9E48-B5D54444F970} - \DhNnoBQOYSzuq2 -> No File <==== ATTENTION Task: {E99C44DA-ABF7-40B4-97B8-1F82CEAF9299} - System32\Tasks\Driver Booster SkipUAC (Aleksandr) => E:\Driver Booster\4.4.0\DriverBooster.exe FirewallRules: [{ABD1644A-5E21-4634-B0D2-CB0F31E3BCF1}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe FirewallRules: [{49CA1DCF-4757-443A-936A-4022E00F56E6}] => (Allow) E:\Temp\88B58ED2-2AF3-4E6E-A9FB-39BFF2E7C0B6\ZaxarSetup.4.001.33.exe\zaxarloader.exe FirewallRules: [{A2AEE774-8B73-49DE-A1AC-BA788D8DA19B}] => (Allow) C:\Users\Aleksandr\AppData\Roaming\SchedTaskSetup\sched.exe EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
YoutubeDownloader уже пробовал удалить ранее, не удаляется, выдает ошибку, не найден указанный модуль. Программа через этот код тоже не смогла удалить, сначала выдало, что удаление было произведено ранее, а затем, что недостаточно прав.
- Сообщения
- 16,842
- Решения
- 1
- Реакции
- 3,516
Если она еще есть в перечне программ, пробуйте удалить форсировано, например, через Revo Uninstall.
Сообщите что из проблем еще осталось.
На данный момент проблем больше не заметил. В принципе уже после того, как заработали антивирусники, всё стало как и раньше. Спасибо большое за помощь, уже думал переустанавливать ОС или делать копию с другого HDD.
- Сообщения
- 16,842
- Решения
- 1
- Реакции
- 3,516
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Программа тоже не смогла удалить, тоже выдало ошибку. Размер файла 0
Последнее редактирование модератором:
- Сообщения
- 16,842
- Решения
- 1
- Реакции
- 3,516
Если уже удалили, скачайте еще раз FRST.
Запустите frst64.exe, в поле Search введите
нажмите Registry Search. Итоговый файл SearchReg.txt приложите к следующему сообщению.
- Сообщения
- 16,842
- Решения
- 1
- Реакции
- 3,516
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CreateRestorePoint: [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\37E903F1-029F-42FA-87DF-076AF4EE0277] Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Проверьте исчезла ли эта запись из перечня установленных.
- Статус
