Решена HELP! обнаружены левые папки !

Статус
В этой теме нельзя размещать новые ответы.

Ramkalay161rus

Новый пользователь
Сообщения
13
Реакции
0
Добрый день уже замучался вскрывать папки удалять они снов а появляются ... появилось куча папок малавары , inetpub . mb3instlal и многие другие я их не устанавлоивал и они явно какие то подозрительные + при открытии диспетчаера задач 100% груз процессора на 1.5 секунды дальше 5-10% как будто спалился верусняк майнера и спрятался . Ищу помощь чтобы удалить это все безобразие майнерское , да = еще что 5 вирусов нашел DR/web cureit и он еще видит в программ дата все антивирусы что есть на свете и езет и нод и касперски и какого только нет и нортон ... но я ни 1 антивир никогда не ставил ( кроме как вчера cureita и то он без установки работает ) Еще есть такое джело что на антивирусныйй сайт официальный не заходит и не качает ниче ... как будто отбривают сайт каким то скриптом илии прогой ... хз в скриптах не силен в общем
 
Все может быть. Попробуйте собрать логи, посмотрим

 
да сейчас вот пытаюсь скачат автологгер \
 
Все может быть. Попробуйте собрать логи, посмотрим

пишет что траян в зипе ... уже страшно
Trojan:Win32/Wacatac.B!ml это нормально?
 
Все может быть. Попробуйте собрать логи, посмотрим

 

Вложения

  • Check_Browsers_LNK.log
    7.7 KB · Просмотры: 0
  • HiJackThis.log
    26.4 KB · Просмотры: 18
  • info.txt
    26.9 KB · Просмотры: 19
  • log.txt
    164.5 KB · Просмотры: 18
вот этот архив но он как то по времени мало лог делал 5 мин , сейчас на С и D еще один запустил может по глобальней с инфой будет ... но пишет в в окне что 171 процесс запущен это что то много мне кажется ...
 
Майнера подхватили, довольно "вредный"

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)
 
Майнера подхватили, довольно "вредный"

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)
вот оно
 

Вложения

  • AV_block_remove_2022.05.16-18.53.log
    4.8 KB · Просмотры: 2
Последнее редактирование:
И дочистим хвосты. Папки еще появляются?
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
И дочистим хвосты. Папки еще появляются?
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
половину папок уже нету .... исчезли взорвались ... на сайт dr.web пока что не заходит ... в автозагрузках был еще вот такой файл просто ( ;;; ;;; ) я отключил его автозагрузку но мне кажется его та не должно быть . еще папка inetpub прям на диске С:\ сидит и не удаляется ... ну половины уже нету уже радует ... в С:\program files idpalyer какой то ... dr.web cureit не видит больше скрытых левых антивиров
 

Вложения

  • Addition.txt
    44.8 KB · Просмотры: 19
  • FRST.txt
    43.1 KB · Просмотры: 19
Если зацепил нужные политики, напишите, откорректирую скрипт.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Chrome3] => ;;; C:\Program Files\s3graphics\chrome3\Chrome3.exe -chkautorun (Нет файла)
    C:\Program Files\s3graphics\chrome3\Chrome3.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [ClearRecentProgForNewUserInStartMenu] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoStartMenuMFUprogramsList] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoInstrumentation] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoRecentDocsHistory] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoRecentDocsMenu] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\MountPoints2: {9424b1b0-252a-11ec-a7f8-0862669e017b} - "F:\setup.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Tcpip\..\Interfaces\{aa63f821-32ff-4a38-9543-e3b70ee8676d}: [NameServer] 178.175.133.58,37.1.207.126
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S2 Transmission; "C:\Program Files (x86)\Transmission\transmission-qt.exe" /keep [X] <==== ВНИМАНИЕ
    ContextMenuHandlers5: [S3Ctxt] -> {1D0A702E-DBF1-46a6-8DDB-716535E24F75} =>  -> Нет файла
    HKLM\...\StartupApproved\Run: => "Chrome3"
    2022-05-16 12:14 - 2022-05-16 12:14 - 000000000 ____D C:\inetpub
    2022-05-16 04:04 - 2022-05-16 06:15 - 000000000 ____D C:\Users\Roman\Doctor Web
    2022-05-16 03:51 - 2021-09-18 17:52 - 000000000 ____D C:\Program Files\ldplayerbox
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Если зацепил нужные политики, напишите, откорректирую скрипт.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Chrome3] => ;;; C:\Program Files\s3graphics\chrome3\Chrome3.exe -chkautorun (Нет файла)
    C:\Program Files\s3graphics\chrome3\Chrome3.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [ClearRecentProgForNewUserInStartMenu] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoStartMenuMFUprogramsList] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoInstrumentation] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoRecentDocsHistory] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\Policies\Explorer: [NoRecentDocsMenu] 1
    HKU\S-1-5-21-2874171635-2557494961-3697651989-1001\...\MountPoints2: {9424b1b0-252a-11ec-a7f8-0862669e017b} - "F:\setup.exe"
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Tcpip\..\Interfaces\{aa63f821-32ff-4a38-9543-e3b70ee8676d}: [NameServer] 178.175.133.58,37.1.207.126
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S2 Transmission; "C:\Program Files (x86)\Transmission\transmission-qt.exe" /keep [X] <==== ВНИМАНИЕ
    ContextMenuHandlers5: [S3Ctxt] -> {1D0A702E-DBF1-46a6-8DDB-716535E24F75} =>  -> Нет файла
    HKLM\...\StartupApproved\Run: => "Chrome3"
    2022-05-16 12:14 - 2022-05-16 12:14 - 000000000 ____D C:\inetpub
    2022-05-16 04:04 - 2022-05-16 06:15 - 000000000 ____D C:\Users\Roman\Doctor Web
    2022-05-16 03:51 - 2021-09-18 17:52 - 000000000 ____D C:\Program Files\ldplayerbox
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
круто ! ни чего нигде не осталось вроде . про политики не знаю я как то ставил что то типо от майнеров или от шпионизирования винды что то такое говорили что MS W читает все действия через hkey\/// там такое делал 13 или 15 пунктов отключал ... ну так пока ниче не тревожит значит огонь ! в автозагрузке тоже нету (;;; ;;; ) вот это вот . ну в общем намного чище стало :) и на сайт залетает свободно теперь dr.web .пушка огонь ловушка я доволен ! respect +++
 
осталось только Runtime broker в процессах ну он вроде у всех есть у меня 3 процесса рантайма .... и на диспетчере грузится до100% снова через 1.5 сек все ровно . папки вирусовые поисчезали и всякая всячина вместе с ними .
 
Диспетчеру тоже нужны ресурсы для запуска. Это после выполнения скрипта FRST?
 
Диспетчеру тоже нужны ресурсы для запуска. Это после выполнения скрипта FRST?
не не после FRST , оно до этого было 100% сразу и моментально падает од 4-6 % уже . а было 5%-10% ЦП . А так вот отклик даже быстрее стал после чистки .... NICE
 
Последнее редактирование:
На антивирусные сайты начало пускать, если да, то выдам завершающие шаги.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу