Всем привет! Недавно скачал программу и вылезло это чудо. Вирус находится по Директориям C:/ProgramData/Windows Tasks Service и C:/ProgramData/ReaItekHD(вместо L буква i большая). Оно не дает зайти на вирустотал, в programData(в безопасном режиме все ок), закрываются видео с туториалами как удалить вирус, сайты с антивирусами не загружаются, диспетчер задач на несколько секунд включается и выключается. При удалении через командную строку в безопасном режиме не удаляется! Помогите пожалуйста до завтра надо!
Решена Вирус Майнер-троян winserv.exe
- Автор темы Dasrea
- Дата начала
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Запустите Autologger и прикрепите новый CollectionLog.
- Сообщения
- 16,846
- Решения
- 3
- Реакции
- 3,516
1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
2. Файл CheckBrowserLnk.log
из папки
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
2. Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
var
SL : TStringList;
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '');
DeleteSchedulerTask('Browserupdphenix');
DeleteFile('C:\Users\0\appdata\local\browserupdphenix\browserupdphenix.exe', '');
DeleteFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
SL:= TStringList.Create;
SL.Add('202.43.6.68 de-021.whiskergalaxy.com #added by Windscribe, do not modify.');
SL.Add('104.234.186.55 no-012.whiskergalaxy.com #added by Windscribe, do not modify.');
SL.Add('185.226.105.101 us-east-069.whiskergalaxy.com #added by Windscribe, do not modify.');
SL.Add('151.80.169.28 zelenka.guru');
SL.Add('127.0.0.1 vortex-win.data.microsoft.com');
SL.Add('127.0.0.1 settings-win.data.microsoft.com');
SL.SaveToFile('%WINDIR%\system32\drivers\etc\hosts');
SL.Free;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Последнее редактирование:
Script Runtime Error: [Cannot create file "C:\Users\0\Desktop\AutoLogger\AV\%WINDIR%\system32\drivers\etc\hosts". Системе не удается найти указанный путь]1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
2. Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:var SL : TStringList; begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', ''); DeleteSchedulerTask('Browserupdphenix'); DeleteFile('C:\Users\0\appdata\local\browserupdphenix\browserupdphenix.exe', ''); DeleteFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); SL:= TStringList.Create; SL.Add('202.43.6.68 de-021.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('104.234.186.55 no-012.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('185.226.105.101 us-east-069.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('151.80.169.28 zelenka.guru'); SL.Add('127.0.0.1 vortex-win.data.microsoft.com'); SL.Add('127.0.0.1 settings-win.data.microsoft.com'); SL.SaveToFile('%WINDIR%\system32\drivers\etc\hosts'); SL.Free; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Компьютер перезагрузится.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
При запуске скрипта в AVZ
Всё, я вручную переписал hosts и перезагрузил пк
Последнее редактирование:
1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
2. Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:var SL : TStringList; begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', ''); DeleteSchedulerTask('Browserupdphenix'); DeleteFile('C:\Users\0\appdata\local\browserupdphenix\browserupdphenix.exe', ''); DeleteFile('C:\Users\0\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(13); SL:= TStringList.Create; SL.Add('202.43.6.68 de-021.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('104.234.186.55 no-012.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('185.226.105.101 us-east-069.whiskergalaxy.com #added by Windscribe, do not modify.'); SL.Add('151.80.169.28 zelenka.guru'); SL.Add('127.0.0.1 vortex-win.data.microsoft.com'); SL.Add('127.0.0.1 settings-win.data.microsoft.com'); SL.SaveToFile('%WINDIR%\system32\drivers\etc\hosts'); SL.Free; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Компьютер перезагрузится.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Подробнее читайте в этом руководстве.
Код:
O4 - HKLM\..\Session Manager: [BootExecute] = (no file)
O4 - MountPoints2: HKCU\..\{1e315d57-8095-11ed-8f3c-8cb0a234c2e3}\shell\AutoRun\command: (default) = (no file)
O4 - MountPoints2: HKCU\..\{2c67d771-8446-11ed-ae30-8cb0a234c2e3}\shell\AutoRun\command: (default) = (no file)
O4 - MountPoints2: HKCU\..\{d3696bf3-8f40-11ed-ae3e-344b50000000}\shell\AutoRun\command: (default) = (no file)Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\bMPzLqAPhrjU2\wWqhsrmBQQVkn.dll', '');
QuarantineFile('C:\Program Files (x86)\DEfiNxtRVHGLC\MZlzSce.dll', '');
QuarantineFile('C:\Program Files (x86)\XzkZIDKtU\WhrBQk.dll', '');
QuarantineFile('C:\ProgramData\npzVmnaKeKQyztVB\yRyajAk.wsf^', '');
DeleteFile('C:\Program Files (x86)\bMPzLqAPhrjU2\wWqhsrmBQQVkn.dll', '64');
DeleteFile('C:\Program Files (x86)\DEfiNxtRVHGLC\MZlzSce.dll', '64');
DeleteFile('C:\Program Files (x86)\XzkZIDKtU\WhrBQk.dll', '64');
DeleteFile('C:\ProgramData\npzVmnaKeKQyztVB\yRyajAk.wsf^', '64');
DeleteSchedulerTask('kBTTFzXGJmPfrrT2');
DeleteSchedulerTask('NGcJnfDNNqYuPz');
DeleteSchedulerTask('pFFOcykGbUJlw2');
DeleteSchedulerTask('TxRhBvWWfgiEXNhuLbV2');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
- Скачайте AdwCleaner и сохраните его на Рабочем столе.
- Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,318
- Решения
- 7
- Реакции
- 13,842
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {AFB537E8-C842-49E6-85B1-D0A462641846} - System32\Tasks\PYVbCGYYWaxyjDPfC2 => rundll32 [Argument = "C:\Program Files (x86)\jDomTNibNCnTYAvBAVR\IZhFOzy.dll",#1] <==== ВНИМАНИЕ C:\Program Files (x86)\jDomTNibNCnTYAvBAVR\ Edge Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\0\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2023-05-21] [UpdateUrl:hxxps://clients12.google.com/service/update2/crx] <==== ВНИМАНИЕ 2023-05-21 14:23 - 2023-06-09 19:49 - 000000000 ____D C:\Program Files (x86)\DEfiNxtRVHGLC 2023-05-21 14:23 - 2023-05-21 14:23 - 000003034 _____ C:\WINDOWS\system32\Tasks\PYVbCGYYWaxyjDPfC2 2023-05-21 14:23 - 2023-05-21 14:23 - 000000000 ____D C:\ProgramData\npzVmnaKeKQyztVB 2023-05-21 14:20 - 2023-06-09 01:51 - 000000000 ____D C:\Program Files (x86)\ImpBfnOra521 2023-06-08 00:19 C:\Program Files\RogueKiller 2023-06-08 00:19 C:\ProgramData\princeton-produce ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Нет файла ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Нет файла AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [900] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [900] AlternateDataStreams: C:\Users\0\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\0\Application Data:NT [40] AlternateDataStreams: C:\Users\0\Application Data:NT2 [900] AlternateDataStreams: C:\Users\0\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\0\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\0\AppData\Roaming:NT2 [900] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [900] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [900] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Похожие темы
- Закрыта
