• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Вирус Steam

Статус
В этой теме нельзя размещать новые ответы.

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
а нет вернулась, запустил диспетчер задач и стим закрылся, проверил папки они опять на месте
 

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
Тогда удаляйте стим и

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
AutorunsVTchecker написала что все файлы прошли проверку
 

Вложения

  • DESKTOP-3FB4KH4_2020-09-18_20-19-09_v4.1.9.7z
    843.7 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    ;---------command-block---------
    zoo %SystemDrive%\PROGRAMDATA\NETWORK\DATATM.CMD
    delall %SystemDrive%\PROGRAMDATA\NETWORK\DATATM.CMD
    zoo %SystemDrive%\PROGRAMDATA\NETWORK\STEAM.EXE
    delall %SystemDrive%\PROGRAMDATA\NETWORK\STEAM.EXE
    zoo %SystemDrive%\PROGRAMDATA\STEAM\STEAMUPDATE.EXE
    delall %SystemDrive%\PROGRAMDATA\STEAM\STEAMUPDATE.EXE
    apply
    
    czoo
    deltmp
    ;---------command-block---------
    delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_BA8C9C14F3D320CB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_BA8C9C14F3D320CB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
    delref %SystemDrive%\USERS\FJLASHE\APPDATA\ROAMING\DISCORD\0.0.308\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\[CLSID]
    delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {206D445A-C02A-4A9E-9F22-E507D897DDAD}\[CLSID]
    delref {2836DC56-1C8F-415D-B034-2CCA870F2A1D}\[CLSID]
    delref {915421B6-0B73-4786-90CB-9605AC3DC1E3}\[CLSID]
    delref %SystemDrive%\USERS\FJLASHE\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\FILECOAUTH.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %Sys32%\VAILAUDIOPROXY.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
    delref %SystemDrive%\USERS\FJLASHE\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
    delref %SystemDrive%\STEAM\STEAM.EXE
    delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
    delref %SystemDrive%\USERS\FJLASHE\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
    delref %SystemDrive%\GAMES\DIABLO III\DIABLO III LAUNCHER.EXE
    apply
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Установите стим и проверьте.
 

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
2020.09.19_ZOO_2020-09-19_10-20-17_4029f90f63b9aaa6d889d9cf38869e08.7z
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
Что сейчас с проблемой?
 

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
актуальна, так же вирус живет пока
 

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
Тогда готовьте свежий лог UVS
 

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
свежий лог UVS
 

Вложения

  • DESKTOP-3FB4KH4_2020-09-24_16-26-41_v4.1.9.7z
    849.4 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

FJlashe

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Reports
 

Вложения

  • Reports.rar
    1.5 KB · Просмотры: 5

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
Проблема продолжает наблюдаться?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
Через Программы и компоненты деинсталлируйте
Process Hacker 2.39 (r124)
а также на время лечения там же удалите Steam.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
@FJlashe, после лечения KVRT и без установки Стим-а проблема как-либо проявляется?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу