Решена Стиллер вероятно семейства duvet

[minawa]

скачала шейдеры для роблокса в инете, стилльнули куки пароли и периодически заходят на акк воруют вещи в играх, запускала несколько антивирусных прог они ниче не нашли. Выполняла эти команды
taskkill /f /im shaderblox.exe
taskkill /f /im shaderbloxstpp.exe
del /q /f /s "C:\Users\Мина\AppData\Local\Temp\*"
Set-ExecutionPolicy Restricted -Scope LocalMachine
Set-ExecutionPolicy Restricted -Scope CurrentUser
прикрепляю shaderblox.rar запускала файл оттуда пароль к архиву 123 хтпп://dropmefiles.com/ELjvp

 

[Severnyj]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 QuarantineFile('C:\ProgramData\srchost.vbs', '');
 DeleteFile('C:\ProgramData\srchost.vbs', '32');
 DeleteFile('C:\ProgramData\srchost.vbs', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'shaderblox', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'shaderblox', 'x64');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O26 - Office Addin: HKCU\..\TeamsAddin.FastConnect - (Microsoft Teams Meeting Add-in for Microsoft Office) -> (no file)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\РњРёРЅР°

Подготовьте новый CollectionLog Автологгером

 

[minawa]

запустила первый скрипт, комп перезагрузился, запускаю второй и не появляется файл карантин.7з, несколько раз запустила второй скрипт, так и не появился, прикладываю скрины ошибок. также после запуска первого скрипта в папке карантин ничего не появилось

 

[Severnyj]

Делайте новый CollectionLog.

 

[minawa]

повторить все тоже самое что вы прописали сверху?

 

[Severnyj]

повторить все тоже самое что вы прописали сверху?

Нет, не надо. Скрипт удален, давайте посмотрим, какой мусор остался.


Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[minawa]

.

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-4237042833-2232434765-3073369546-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-4237042833-2232434765-3073369546-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
Folder: C:\Users\Мина\AppData\Roaming\shaderblox
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5284]
AlternateDataStreams: C:\Users\Мина\OneDrive\Desktop\AutoLogger.exe:MBAM.Zone.Identifier [78]
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[minawa]

.

 

[Severnyj]

Смените пароли и понаблюдайте за проблемой. Если утечки и кражи продолжатся, возвращайтесь в эту тему.

Если не продолжатся, возвращайтесь за конечными рекомендациями.

 

[minawa]

хорошо, спасибо вам огромное!

 

[minawa]

здравствуйте, все хорошо, больше не заходили на акк

 

[Sandor]

Отлично!
Завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[minawa]

.

 

[Sandor]

Исправьте по возможности:

NVIDIA GeForce Experience 3.22.0.32 v.3.22.0.32 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.051.0317.0003 Внимание! Скачать обновления
Discord v.1.0.9151 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Spotify v.1.2.60.564.gcc6305cb Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
GearUP Booster v.2.19.2.310 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Дополнительное сканирование не нужно, просто удалите программы.

Читайте Рекомендации после удаления вредоносного ПО