Всем здравствуйте! Недавно в комп залез троян. PRO32 его не обнаруживает, а бранмауэр Windows обнаруживает но не может удалить. Подскажите как быть? Приношу свои извинения, если вопрос задан не в той теме!
Не удаляется Троян, Не могу удалить троян
20.01.2024 21:21:19
|
|
|
|
20.01.2024 23:16:40
Мда. По ходу пора на ESET возвращаться. Там в течении 5 минут отвечают!
|
|
|
|
23.01.2024 12:35:16
Николай Демтиров, добрый день!
1. На изображении с вашего скриншота есть надпись "Показать подробности", нажмите на неё и пришлите новый скриншот, пожалуйста. 2. Скачайте утилиту по ссылке: После загрузки утилиты нажмите по файлу правой кнопкой мыши и выберите "Запуск от имени администратора". В открывшемся окне в поле "Enter Token ID" введите номер вашего обращения в техподдержку. После сбора журналов архив сохранится на рабочем столе. Пришлите его нам на анализ. 3. Щёлкните правой клавишей мышки по значку антивируса PRO32 в области системных уведомлений и выберите "Временно отключить защиту", к примеру, на 15 минут. Скачайте утилиту uVS по ссылке: Распакуйте архив (щёлкните по скаченному файлу в браузере правой клавишей мышки и выберите "Показать в папке", затем щёлкните по архиву в списке скаченных файлов в папке загрузок и выберите "Извлечь всё"). Имя распакованной папки обязательно должно остаться по умолчанию - uvs_v414. Откройте распакованную папку и запустите файл Start.exe (согласитесь на запуск от имени администратора). В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). Выберите меню "Файл" - Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Файл архива с образом автозапуска также отправьте нам в ответном письме. |
|
|
|
23.01.2024 12:39:21
|
|||
|
|
25.01.2024 17:34:47
Здравствуйте! Вот развернутый скриншот.
|
|
|
|
25.01.2024 17:46:48
Вот файл!
|
|
|
|
25.01.2024 17:50:25
UVS не скачивается. Дело в малварбейтсе? Но я вроде и его отключил. Не открывается страница. Пишет, что страница не найдена
Изменено: |
|
|
|
26.01.2024 14:10:51
|
|||
|
|
26.01.2024 15:14:39
Спасибо! Удалось скачать через песочницу Windows. Файл прикрепил!
|
|
|
|
26.01.2024 16:40:16
Николай, прежде всего, судя по присланному журналу, антивирус PRO32 не активирован и не обновляет базы данных модулей обнаружения. Не могли бы вы, пожалуйста, выполнить активацию, дождаться обновления, и запустить вручную полное сканирование компьютера при помощи PRO32? Рекомендации по результатам анализа журнала uVS отправим дополнительно. Спасибо.
|
|
|
|
26.01.2024 18:41:09
На всякий случай скидываю данные с системы в которой стоит лицензионный PRO32. № сообщения 261
Изменено: |
|
|
|
27.01.2024 14:25:25
Николай, спасибо, я не намекал на это, просто хотелось убедиться, что вы выполнили сканирование PRO32 с актуальными базами. По проблеме:
1. Пришлите лог сканирования PRO32, из под обоих систем (проверим на всякий случай, не был ли файл уже ранее обнаружен и вылечен им): C:\ProgramData\K7 Computing\K7TSecurity\K7AntiVirus\K7Avlog.dat 2. Судя по логу uVS с зараженной системы, в ней ранее был майнер "micfosofthost", но сейчас от него остались лишь следы, сами вредоносные файлы очищены. Также подозрительным выглядит объект VMMEM (pid = 11932), но пока неясно, вредоносный он или нет. В момент сбора лога была ли запущена виртуальная машина? 3. Скачайте архив Скрипт: ;uVS v4.15.1 [ ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 39 restart После перезагрузки системы, еще раз запустите start,exe (от имени Администратора), текущий пользователь. Далее, меню "Файл" / Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Новый файл архива с образом автозапуска прикрепите сюда. 4. Скачайте и запустите
Изменено: |
|
|
|
28.01.2024 10:14:00
Здравствуйте. Новая версия UVS не скачалась. При попытке скачать, попросили регистрацию. Попытался зарегистрироваться, но при нажатии кнопки продолжить, появился вращающийся квадратик (означающий загрузку) и все. Дальше ни куда не сдвинулось. В старой версии UVS выполнение скрипта не к чему не привело. Просканировать данную систему актуальной версией PRO32 не представляется возможным, TRIAl не обновляется. а покупать еще одну лицензию у меня нет возможности. Переустановка TRIAL версии, судя по всему, к обновлению до последней версии не привела. Выкладываю два файла после теста Farbar Recovery.
p.s. UVS скачал.
Изменено: |
|
|
|
28.01.2024 19:17:18
Здравствуйте! Компьютер перезагрузился. И в первом и втором случае. Но Троян остался и сейчас уже вместо трех предупреждений defender выдает 7. Выкладываю результаты сканирования зараженной системы.
Изменено: |
|
|
|
28.01.2024 19:22:40
Скрин
|
|
|
|
29.01.2024 09:10:30
|
|||
|
|
29.01.2024 10:13:29
Здравствуйте! Выкладываю.
|
|
|
|
29.01.2024 18:01:03
Выполните приложенный скрипт. Для этого повторно запустите uVS через start.exe, нажмите "Запустить под текущим пользователем", "Скрипт" - "Выполнить скрипт из файла" и укажите путь к приложенному файлу. После выполнения скрипта компьютер перезагрузится, соберите новый лог файл uVS и приложите здесь.
Изменено: |
|
|
|
29.01.2024 18:35:06
В скрипте была ошибка, только что обновил файл в предыдущем сообщении.
|
|
|
|
29.01.2024 19:24:02
Здравствуйте! Угроз стало 13. Не после скрипта, а вообще. Я благодарю вас за помощь и уделенное время. Но склоняюсь к тому, что нужно просто долбануть систему. Еще раз спасибо.
|
|
|
|
29.01.2024 20:07:13
Сделал проверку системных файлов некоторые система не смогла восстановить.
p.s. Вопрос: программа UVS блокируется pro32. Почему? |
|
|
|
29.01.2024 21:18:04
На рабочем столе есть две скрытые паки AutoLogger и AV_block_remover. Это паки PRO32?
|
|
|
|
30.01.2024 00:45:49
Николай, наберитесь немного терпения, пожалуйста. Мы уже проделали бОльшую часть работы. Это ещё не окончательный скрипт лечения, а промежуточный этап, нужно было проверить, восстановится ли один из подозрительных элементов после выгрузки из памяти после перезагрузки компьютера, чтобы произвести очистку избирательно. После выполнения скрипта и перезагрузки нужен новый журнал uVS, как я писали ранее.
Изменено: |
|
|
|
30.01.2024 00:46:35
|
|||
|
|
30.01.2024 00:47:46
|
|||
|
|
30.01.2024 06:53:00
По очистке в FRST:
Запустите FRST.exe от имени Администратора (если не запущен). Скопируйте файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, браузер закройте. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST. AutoLogger и AV_block_remove не относятся к PRO32. Это каталоги программ для сбора логов соответственно программами AutoLogger и AVBR (видимо, вы скачивали их самостоятельно ранее). |
|
|
|
30.01.2024 09:13:56
Здравствуйте!
|
|
|
|
30.01.2024 12:02:54
По логу uVS - VMMEM это, скорее всего, легальный элемент защиты системы от утечки данных. |
||||
|
|
|||
|