Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/5: Рейтинг темы: голосов - 5, средняя оценка - 5.00
2 / 2 / 3
Регистрация: 11.08.2012
Сообщений: 398
1

По ходу мой компьютер заражен

13.01.2021, 12:44. Просмотров 946. Ответов 7
Метки нет (Все метки)

Здравствуйте по ходу мой компьютер заражен это проявляется в след. Утилиты сканирования на вирусы (не все правда) не запускаются приходится их переименовывать. Антивиусники касперского не ставятся вылетают при попытке установки.Так же не могу зайти в личный кабинет касперского показывает что страница не доступна.
CollectionLog-2021.01.13-16.44.zip
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
13.01.2021, 12:44
Ответы с готовыми решениями:

Мой компьютер заражен
При включении компьютера запускается сайт alt-rutor.org

Мой комп заражен вирусом, я в панике. Ничего не помогает, спасите!
Здравствуйте, я пришёл на этот форм впервые с целью спасти свой ноутбук. Я сижу на операционной...

Заражен компьютер
Помогите найти вирус

Заражен компьютер
Здравствуйте! Компьютер долгое время был без антивируса и есть большое подозрение что он заражен...

7
Вирусоборец
15521 / 12952 / 2245
Регистрация: 08.10.2012
Сообщений: 52,407
13.01.2021, 12:53 2
Лучший ответ Сообщение было отмечено maksim11082012 как решение

Решение

Здравствуйте!

Цитата Сообщение от maksim11082012 Посмотреть сообщение
мой компьютер заражен
Причём, с октября прошлого года

Внимание! Рекомендации написаны специально для пользователя maksim11082012. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
    var
    ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders : TStringList;
    
    procedure FillList;
    begin
    PD_folders := TStringList.Create;
    PD_folders.Add('360TotalSecurity');
    PD_folders.Add('360safe');
    PD_folders.Add('AVAST Software');
    PD_folders.Add('Avg');
    PD_folders.Add('Avira');
    PD_folders.Add('ESET');
    PD_folders.Add('Indus');
    PD_folders.Add('Kaspersky Lab Setup Files');
    PD_folders.Add('Kaspersky Lab');
    PD_folders.Add('MB3Install');
    PD_folders.Add('Malwarebytes');
    PD_folders.Add('McAfee');
    PD_folders.Add('Norton');
    PD_folders.Add('grizzly');
    PD_folders.Add('RealtekHD');
    PD_folders.Add('RunDLL');
    PD_folders.Add('Setup');
    PD_folders.Add('System32');
    PD_folders.Add('Windows');
    PD_folders.Add('WindowsTask');
    PD_folders.Add('install');
    PD_folders.Add('bebca3bc90');
    PF_folders := TStringList.Create;
    PF_folders.Add('360');
    PF_folders.Add('AVAST Software');
    PF_folders.Add('AVG');
    PF_folders.Add('ByteFence');
    PF_folders.Add('COMODO');
    PF_folders.Add('Cezurity');
    PF_folders.Add('Common Files\McAfee');
    PF_folders.Add('ESET');
    PF_folders.Add('Enigma Software Group');
    PF_folders.Add('GRIZZLY Antivirus');
    PF_folders.Add('Kaspersky Lab');
    PF_folders.Add('Malwarebytes');
    PF_folders.Add('Microsoft JDX');
    PF_folders.Add('Panda Security');
    PF_folders.Add('SpyHunter');
    PF_folders.Add('RDP Wrapper');
    O_folders := TStringList.Create;
    O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
    O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
    O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
    O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
    O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
    O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
    end;
    
    procedure Del_folders(path:string; AFL : TStringList);
    var
    i : integer;
    begin
    for i := 0 to AFL.Count - 1 do
    begin
      fname := NormalDir(path + AFL[i]);
      if DirectoryExists(fname) then
          begin
              FSResetSecurity(fname);
              QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
              DeleteFileMask(fname, '*', true);
              DeleteDirectory(fname);
          end;
    end;
    end;
    
    procedure swprv;
    begin
    ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
    RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
    RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
    RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
    RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
    OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
    if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
    ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
    ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
    end;
    
    procedure  AV_block_remove;
    begin
    clearlog;
    if GetAVZVersion < 5.18 then begin
      ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
      AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
      exitAVZ;
    end;
    FillList;
    ProgramData := GetEnvironmentVariable('ProgramData');
    ProgramFiles := NormalDir('%PF%');
    ProgramFiles86 := NormalDir('%PF% (x86)');
    Del_folders(ProgramData +'\', PD_folders);
    Del_folders(ProgramFiles, PF_folders);
    Del_folders(ProgramFiles86, PF_folders);
    Del_folders('', O_folders);
    if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
    if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
    RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
    RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
    swprv;
    if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
        ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
    SaveLog(GetAVZDirectory +'AV_block_remove.log');
    PD_folders.Free;
    PF_folders.Free;
    O_folders.Free;
    ExecuteWizard('SCU', 3, 3, true);
    ExecuteSysClean;
    end;
    
    begin
    AV_block_remove;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Дополнительно отметьте галочкой пункт "90 days files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    (Если не помещаются, упакуйте).
    Подробнее читайте в этом руководстве.
0
2 / 2 / 3
Регистрация: 11.08.2012
Сообщений: 398
14.01.2021, 04:39  [ТС] 3
Спасибо
Addition.7z
FRST.7z
0
Вирусоборец
15521 / 12952 / 2245
Регистрация: 08.10.2012
Сообщений: 52,407
14.01.2021, 09:26 4
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {194B55CB-AAAE-4234-A776-B87062C6D1D8} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
    Task: {30A7269F-0513-4A74-A29E-A6EB422C2DE0} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
    Task: {63B32AFA-2423-4428-AF2E-7787D9BB5566} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
    Task: {69B79AC4-37BC-4B1C-AA1C-F875C4EFD762} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
    Task: {ADB9565C-BB1A-41EA-880A-73FFD07FF8D8} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{A6C4DA32-2DFE-45AA-8918-10C3ED6E093A}] => (Allow) C:\Users\Максим\Downloads\AeroAdmin.exe => No File
    FirewallRules: [{22577C2D-039B-4A00-A222-BE1B789FB70E}] => (Allow) C:\Users\Максим\Downloads\AeroAdmin.exe => No File
    FirewallRules: [{C2F30537-9A49-4C57-A744-8FCA64A66C85}] => (Allow) LPort=80
    FirewallRules: [{ADEFF5C8-7630-4264-94A0-3D73EBE85C07}] => (Allow) LPort=8501
    FirewallRules: [{F615EB03-0C59-4AF6-9A91-81EB3F989E56}] => (Allow) LPort=8501
    FirewallRules: [{CB6B4D6A-AA14-4B9A-A223-721A50531979}] => (Allow) LPort=475
    FirewallRules: [{61CE3C3A-BDCF-4E04-9912-0F5702DE309C}] => (Allow) LPort=475
    FirewallRules: [{623909CF-1695-4255-B33D-D9A680DD82BC}] => (Allow) LPort=443
    FirewallRules: [{CF56D840-9805-41FC-9EF4-96E6D913A44B}] => (Block) LPort=445
    FirewallRules: [{EC89754C-605E-4F0D-8ABB-5D925C324A89}] => (Block) LPort=445
    FirewallRules: [{983492B8-53D0-4FE2-B538-5E47DC295F7D}] => (Block) LPort=139
    FirewallRules: [{6C11F789-8BC4-4D99-8762-B86F49AE8D8E}] => (Block) LPort=139
    FirewallRules: [{439CF4BA-BDB4-4EAC-850A-66BB35A6DCDA}] => (Allow) LPort=3389
    FirewallRules: [{34AB09DD-676F-42BD-98DD-DD26CB52068F}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
2 / 2 / 3
Регистрация: 11.08.2012
Сообщений: 398
15.01.2021, 10:13  [ТС] 5
Цитата Сообщение от Sandor Посмотреть сообщение
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
скрипт же надо выполнять в AVZ? если что он что то не смог удалить, Не успел прочитать комп перпезагрузился
и при проверке FRST пишет что -"No fixlist.txt not found"
0
Вирусоборец
15521 / 12952 / 2245
Регистрация: 08.10.2012
Сообщений: 52,407
15.01.2021, 10:17 6
Цитата Сообщение от maksim11082012 Посмотреть сообщение
скрипт же надо выполнять в AVZ?
Нет. Нужно в точности выполнить написанное - выделить код, скопировать, запустить FRST, нажать Fix.
0
2 / 2 / 3
Регистрация: 11.08.2012
Сообщений: 398
Сегодня, 04:19  [ТС] 7
Fixlog.txt
Ещё раз спасибо
0
Вирусоборец
15521 / 12952 / 2245
Регистрация: 08.10.2012
Сообщений: 52,407
Сегодня, 09:16 8
Если проблема решена, завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
Сегодня, 09:16

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Заражен компьютер
При открытии браузеров открывается куча левых вкладок. Без моего разрешения запускаются какие-то...

Компьютер заражён трояном
Здравствуйте. Неделю назад в различных папках начали появляться файлы с расширениями .bat .rar...

Компьютер заражен ботнетом
Здравствуйте ребята. Мой друг занимается созданием сайтов и вот такая проблема, есть подозрение что...

Компьютер заражен непонятно чем
столкнулся с проблемой при выходе в интернет. иногда выскакивают рекламные банеры хоть и стоит...

Компьютер заражен ads by blockandsurf
Добрый день! Помогите, пожалуйста, вылечиться от ads by blockandsurf!!! Протокол антивирусной...

Похоже, что компьютер заражен!
При запуске компьютера, вылазит черное досовское окно и сообщение &quot;процессор ntvdm обнаружил...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.