Войти

Показать полную графическую версию : [решено] Антивирус нашел вирус и не может вылечить


Страниц : [1] 2

postoronim
13-01-2018, 12:32
Здравствуйте! Вчера антивирус после сканирования выявил два вируса. Вылечить не смог. Помогите, пожалуйста. Скрин прилагаю. Логи присоединяю.

iskander-k
14-01-2018, 21:18
postoronim, https://safezone.cc/threads/kak-udalit-360-total-security-poshagovaja-instrukcija.27347/#post-256138

postoronim
14-01-2018, 22:20
iskander-k,
Вы рекомендуете мне избавиться от 360 Total Security? Он зловреден? Или не справляется с задачами антивирусной защиты?

Sandor
15-01-2018, 10:41
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet


Скачайте Malwarebytes' Anti-Malware (https://downloads.malwarebytes.com/file/mb3/). Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

postoronim
15-01-2018, 15:16
удалите нежелательное ПО: »
Удалил.
Отчёт прикрепите к сообщению. »
Выполнил.

Sandor
15-01-2018, 15:34
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанной ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Подробнее читайте в руководстве. (https://safezone.cc:443/threads/28958/#post-241564)


Раздел реестра:

Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AAct, Проигнорировано пользователем, [0], [392686],1.0.3699



После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

postoronim
15-01-2018, 16:42
кроме указанной ниже строчки »
Насчет этого не вполне уверен, т.к. в отчете строка местоположения файла очень длинная и вся не помещалась, и прокрутки нету, чтоб конец увидеть. А таких файлов с идентичным началом местоположения в отчете было три. Я отчет распечатал в "блокнот" и посмотрел там. Но вид текста там иной (не такой как отчет). Пришлось просто методом догадывания считать, что первый файл в "блокноте" похожий на тот, что вы написали и есть первым из трех файлов в отчете. И с него я снял галочку.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. »
Выполнил
Нажмите кнопку Scan. »
Выполнил

postoronim
15-01-2018, 17:40
Очистка от вирусов порадовала - возобновились остро необходимые функции браузера, по которым причину подозревал в другом.

Sandor
15-01-2018, 17:47
Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Toolbar: HKLM - No Name - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - No File
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=789169
S3 4F95809EACC61876; \??\C:\Windows\TEMP\589C7B2.sys [X]
S3 4F9583ED1D1EA4F6; \??\C:\Windows\TEMP\5B8BED9.sys [X]
S3 4F9584D87FCBADF6; \??\C:\Windows\TEMP\7C1AA20.sys [X]
S3 4F95898BB9CC34F6; \??\C:\Windows\TEMP\6ADB5C9.sys [X]
S3 4F958A75AF14CC76; \??\C:\Windows\TEMP\668B2DE.sys [X]
S3 4F958A762C55C876; \??\C:\Windows\TEMP\5C1201B.sys [X]
S3 4F958B373DA66A76; \??\C:\Windows\TEMP\5629B6C.sys [X]
S3 4F958E04ECE90176; \??\C:\Windows\TEMP\4C863E0.sys [X]
S3 4F959069F1E39C76; \??\C:\Windows\TEMP\6C4DF2B.sys [X]
S3 4F959288CD4FAED3; \??\C:\Windows\TEMP\169121AE7.sys [X]
S3 4F95988606A4EEF6; \??\C:\Windows\TEMP\46FBEB1.sys [X]
S3 4F959886F7CD8976; \??\C:\Windows\TEMP\61B6A29.sys [X]
S3 4F959BD4AC033776; \??\C:\Windows\TEMP\48A7C20.sys [X]
S3 4F959BD543801DF6; \??\C:\Windows\TEMP\57564A7.sys [X]
S3 4F959CC61D5C5BF6; \??\C:\Windows\TEMP\7CFFFE3.sys [X]
S3 4F959D37E9C4C1F6; \??\C:\Windows\TEMP\5A8CE25.sys [X]
S3 4F95B138EC034BF6; \??\C:\Windows\TEMP\59798C4.sys [X]
S3 4F95B1EA8AA87676; \??\C:\Windows\TEMP\4C72BA5.sys [X]
S3 4F95B1F35472DAC4; \??\C:\Windows\TEMP\756B2E915.sys [X]
S3 4F95B370CC6D47F6; \??\C:\Windows\TEMP\51CBE8D.sys [X]
S3 4F95FCE8F78E52F6; \??\C:\Users\Александр\AppData\Local\Temp\7C5BDB18.sys [X]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

postoronim
15-01-2018, 20:49
Sandor,
Сделал. Вы не сообщили куда вставить скопированный код. При запуске FRST Fix он оставался в буфере обмена. Может так и надо?

Sandor
16-01-2018, 09:21
Может так и надо? »
Именно так и надо :)

Что сейчас с проблемой?

postoronim
16-01-2018, 12:30
Что сейчас с проблемой? »
По работе системы и браузеров жалоб нет. Но антивирус по-прежнему видит два вируса и не может с ними совладать. Прикрепляю скрин.

Sandor
16-01-2018, 12:34
Вероятно - ложное срабатывание.

Проверьте эти файлы на virustotal (http://www.virustotal.com/index.html) - кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

postoronim
16-01-2018, 15:14
кнопка Выбрать файл »
Не могу это сделать, т.к. в отчете антивируса путь к конечному файлу полностью не указан (стоит многоточие), а папок в этих прогах уйма. Найти эти файлы поиском через кнопку "Пуск" не удалось. Пишет что нету их.

Sandor
16-01-2018, 15:16
Сделаем так:
Скачайте AutorunsVTchecker ('https://safezone.cc:443/resources/autorunsvtchecker.211/'), распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

postoronim
16-01-2018, 21:07
и запустите. »
Сделал. Потом снова запустил антивирус. Тот же результат - два вируса. Но я не стал нажимать "исправить", а нажал "детали" и получил полный путь к этим файлам. И смог провести операцию с virustotal.
Вот ссылки на результат:
https://www.virustotal.com/#/file/18a51cc0b0b1e4cc519407a8efab0c57d61e16470664da407dd40f6b9ac59b9f/detection
https://www.virustotal.com/#/file/18a51cc0b0b1e4cc519407a8efab0c57d61e16470664da407dd40f6b9ac59b9f/detection

postoronim
16-01-2018, 23:08
Странно: после операции с virustota все файлы в конечных папках местонахождения вирусов перестали отображаться (исчезли). И вирусы тоже. Но антивирус упорно их находит на тех же местах. А в проводнике - пусто там (ни одного файла).

Sandor
17-01-2018, 09:25
ложное срабатывание »
Так и есть.

В настройках антивируса очистите все журналы и хранилища.

postoronim
17-01-2018, 09:52
В настройках антивируса очистите все журналы и хранилища. »
Очистил все логи какие нашел в настройках. Если при сканировании снова будет их писать, то буду ставить галочку "игнорировать-доверять". Правильно?

Sandor
17-01-2018, 09:53
Именно так.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.




© OSzone.net 2001-2012