В работе в систему попало вредоносное по после скачки запрет роблокса с видео на ютубе

[ziki]

на следующий день после скачки запрета мне на почту пришло письмо в котором было сказано что пароль от моего дискорд аккаунта сменили, мои друзья начали писать что я отправляю им сообщения с конкурсом мистера биста, вчера же у меня украли аккаунт в стиме, но сегодня я его вернул, и вчера я пытался что-то сделать, виндовс дефендер сказал что на компьютере есть вредоносное по, я скачал malwarebytes и оказалось что у меня правда есть троян майнер 1qiuxchx6g1t.exe, я пытался удалить его через сам антивирус но троян возвращается, а компьютер работает очень медленно, в вирустотал также указали на то что это вредоносное по, СРОЧНО ЧТО МНЕ ДЕЛАТЬ, МНЕ СТРАШНО ЗА МОЙ КОМП (если нужны будут скрины для понимания ситуация то я скину, я только сегодня зарегистрировался на этом сайте, и я плохо разбираюсь в компьютерной безопасности, да и вообще в компьютере если говорить о чем-то связаным с файлами и программами)

 

[Severnyj]

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

 

[ziki]

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

я не до конца понял что я должен сделать, я глуп, прошу обьяснять как ребенку, если не сложно, я крайне плохо разбираюсь в компьютерах

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

извините что мне делать, я должен отправить вам логи? прошу помогите

 

[ziki]

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

вот логи

 

[Severnyj]

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('C:\Users\0\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\Installer\setup.exe', '64');
 DeleteService('ZCP0HR3Y');
 DelCLSID('{3961E42E-3903-431D-8DB3-B786F8AED2F7}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[ziki]

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('C:\Users\0\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\Installer\setup.exe', '64');
 DeleteService('ZCP0HR3Y');
 DelCLSID('{3961E42E-3903-431D-8DB3-B786F8AED2F7}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

(Пишу с телефона) как мне вставить скрипт в avz? Мне его переписывать? Я просто не вижу способа как-то вставить его, в безопасном режиме нет интернета

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('C:\Users\0\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\Installer\setup.exe', '64');
 DeleteService('ZCP0HR3Y');
 DelCLSID('{3961E42E-3903-431D-8DB3-B786F8AED2F7}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

Прошу ответьте словами что я должен сделать в безопасном режим, я вроде понял что надо "сохраниться" или загрузится значит войти в безопасный режим? Не молчите, прошу

 

[ziki]

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('C:\Users\0\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\Installer\setup.exe', '64');
 DeleteService('ZCP0HR3Y');
 DelCLSID('{3961E42E-3903-431D-8DB3-B786F8AED2F7}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

я отправил quarantine.zip по форме прикрепленной в вашем сообщении, сейчас мне нужно просто перезапустить компьютер а после собрать еще одни логи, да?

 

[ziki]

Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('C:\Users\0\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\Installer\setup.exe', '64');
 DeleteService('ZCP0HR3Y');
 DelCLSID('{3961E42E-3903-431D-8DB3-B786F8AED2F7}');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

вот только что сделанные логи

 

[Severnyj]

Доброе утро, от майнера избавились. Теперь продолжаем. Еще 2 шага:

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Далее:

Скачайте антивирусную утилиту Dr.Web CureIt!
Загруженный файл обычно имеет уникальное имя, например: q7a9tr4p.exe
Закройте все открытые приложения и дважды кликните по загруженному файлу, чтобы запустить его.

• При запуске программа отобразит экран "Лицензия и обновление",
• Поставьте галочку, чтобы согласиться с условиями и нажмите на кнопку "Продолжить".
• Нажмите на подчеркнутую ссылку "Выбрать объекты для сканирования",
• В левом верхнем углу установите галочку "Объекты проверки", которая должна автоматически установить галочки напротив всех строк.
• Нажмите на маленький гаечный ключ в правом верхнем углу и убедитесь, что установлен флажок "Автоматически применять действия к угрозам",
• Затем нажмите большую кнопку в правом нижнем углу "Запустить проверку".
• Как только сканирование будет завершено, появится ссылка с надписью "Открыть отчет", нажмите на нее, в Блокноте откроется отчет с именем cureit.log
• Отчет будет сохранен в папке C:\Users\<пользователь>\Doctor Web
• Запакуйте его в архив и прикрепите к своему следующему сообщению.