Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Лечение вируса Attrib.exe

Ответить
Настройки темы
[решено] Лечение вируса Attrib.exe

Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте, помогите с лечением вируса Attrib.exe

Отправлено: 16:16, 14-01-2022

 

Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



CollectionLog-2022.01.14-16.27.zip

Отправлено: 16:28, 14-01-2022 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать


Логи выше

Отправлено: 16:29, 14-01-2022 | #3


Аватара для akok

Ветеран


Консультант


Сообщения: 764
Благодарности: 202

Профиль | Сайт | Отправить PM | Цитировать


webcompanion деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код: Выделить весь код
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','');
 QuarantineFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','');
 DeleteFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','32');
 DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','64');
 DeleteSchedulerTask('System\SystemCheck');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mypoisk.su/
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:51, 14-01-2022 | #4


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать


Файл 166001

Добрый вечер, web companion давно удалён, не имею представление почему он оказался в логах...
Quarantine.7z отправил по форме, также прикрепляю свежие логи к этому сообщению. Спасибо!

Файл 166002

Последний раз редактировалось FlowErics0n, 14-01-2022 в 21:21. Причина: Изменение


Отправлено: 20:54, 14-01-2022 | #5


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



Также прикрепляю логи AdwCleaner:AdwCleaner[S00].txt

Отправлено: 21:29, 14-01-2022 | #6


Аватара для akok

Ветеран


Консультант


Сообщения: 764
Благодарности: 202

Профиль | Сайт | Отправить PM | Цитировать


Не крепите вредосное ПО на форуме.
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:42, 14-01-2022 | #7


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



Добрый день, AdwCleaner[Cxx].txt не создается, судя по всему потому, что карантин я очистил после проверки по случайности еще вчера, всё из него удалено и при повторной проверки вирусы не найдены. Также прикрепляю FRST.txt и Addition.txt. И также прикрепляю AdwCleaner[Sxx].txt. А так фактически проблема решена. Как я понял, дело было в WebCompanion, появился он у меня после установки торрента, торрент я тоже удалил так что все хорошо. Благодарю за помощь. Что то ёще нужно сделать?

Addition.txt
FRST.txt
AdwCleaner[S01].txt

Отправлено: 11:50, 15-01-2022 | #8


Аватара для akok

Ветеран


Консультант


Сообщения: 764
Благодарности: 202

Профиль | Сайт | Отправить PM | Цитировать


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\Данил\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
    CHR StartupUrls: Default -> "hxxp://rusearch.co"
    FirewallRules: [{35B28BC2-0379-4FF0-824D-00A646AEDEBF}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
    FirewallRules: [{AF8DD9F2-4265-40CE-A506-CE52CAB1096A}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
    FirewallRules: [{5718748B-5850-426D-9926-6D00B7A15463}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
    FirewallRules: [{A6C81453-76FE-4392-9A38-F7C435B5FB67}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла
    FirewallRules: [TCP Query User{5F51A20F-B219-4218-A480-4364D116318B}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла
    FirewallRules: [UDP Query User{45AC1C7D-1E22-4651-B583-E440F51BDADB}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла
    FirewallRules: [{1EC38333-6845-440E-8948-C3E5F3E08307}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{95988D70-8FAE-4153-BAA5-BBBF981C4A7A}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{46F3D62E-3AAA-4681-8082-91F297120B0F}] => (Allow) C:\Users\Данил\AppData\Local\Mail.Ru\Atom\Application\atom.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Подробнее читайте в этом руководстве.


После проверяйте проблему.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:41, 16-01-2022 | #9


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



Доброго времени суток, прикрепляю логи фикса. Проблема решена, спасибо вам огромное И кстати, она была решена сразу после работы adwcleaner.
Fixlog.txt

Отправлено: 21:41, 16-01-2022 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Лечение вируса Attrib.exe

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Лечение вируса-шифровальщика felix.usm Лечение систем от вредоносных программ 10 30-10-2015 12:01
Вопрос - признаки возможности и лечение вируса Equation group algusev Защита компьютерных систем 0 19-02-2015 16:37
Лечение вируса от mail.ru DariaAn Лечение систем от вредоносных программ 5 08-01-2015 17:54
[решено] лечение вируса Backdoor.IRC.sdb0t4632 seman Лечение систем от вредоносных программ 15 23-08-2009 11:26
Лечение флэшек от вируса mr.R Лечение систем от вредоносных программ 2 03-12-2008 13:05




 
Переход