Решена Не так давно заметил вирус

Статус
В этой теме нельзя размещать новые ответы.
M

Mikron625

Новый пользователь
Сообщения
6
Реакции
0
Я решил поосвободить место для компьютера, чтобы он прогружался быстрее, тут же обнаружил вирусы. В Programdata я обнаружил неизвестные мне папки с запрещенным допуском: Avira, Indus, Malwarebytes и MB3Install. При этом же никак не мог скачать AV block remover из-за сброса сайта вирусом. Так что решил перейти в безопасный режим с сетью и скачать данную программу.

Файлы я подготовил, так что вот.

P.S. Решил немного почитать у других пострадавших, что да как, но без консультанта, видимо, не обойтись :Help: .
 

Вложения

  • AV_block_remove_2022.10.24-18.36.log
    9.9 KB · Просмотры: 2
  • CollectionLog-2022.10.24-19.07.zip
    84.4 KB · Просмотры: 6
Здравствуйте!

В целом, AVbr хорошо справился, но нужно ещё кое-что дочистить.

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Driver Booster 10
ICQ Toolbar
Word 2013 shareware
Нажмите для раскрытия...

2. Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
Нажмите для раскрытия...
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. "Пофиксите" в HijackThis:
Код: 
R3 - HKCU\..\URLSearchHooks: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3-32 - HKLM\..\Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll (file missing)
O22 - Tasks: Aleks - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Aleks /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
O22 - Tasks: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\10.0.0\Scheduler.exe /scheduler
O22 - Tasks: Driver Booster SkipUAC (Aleks) - C:\Program Files (x86)\IObit\Driver Booster\10.0.0\DriverBooster.exe /skipuac
O22 - Tasks: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\10.0.0\AutoUpdate.exe /auto
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_445_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Здравствуйте.

Первые действия сделал, но успешно удалил Word 2013 shareware. Остальные удалил через CCleaner, так как были ошибки. У ICQ не было папки с программой давно, у Driver Booster 10 был просто отказ.

Второе действие сделал с включенным антивирусником, забыл выключить (антивирус из Windows 10). Поэтому будет два файла.

Остальные действия я успешно сделал. Так что вот!
 

Вложения

  • ClearLNK-2022.10.25_12.09.03.log
    14.5 KB · Просмотры: 1
  • ClearLNK-2022.10.25_12.10.18.log
    13.6 KB · Просмотры: 1
  • FRST.txt
    50.3 KB · Просмотры: 3
  • Addition.txt
    87.2 KB · Просмотры: 3
Хорошо, продолжаем.

MediaGet - тоже деинсталлируйте как нежелательную.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1726212603-3368141132-2727344958-1001\...\MountPoints2: {918dce96-6dd5-11ea-b109-305a3a0e0678} - "H:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1726212603-3368141132-2727344958-1001\...\MountPoints2: {94ca61d1-3a00-11eb-b134-305a3a0e0678} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1726212603-3368141132-2727344958-1001\...\MountPoints2: {94ca61fa-3a00-11eb-b134-305a3a0e0678} - "G:\HiSuiteDownLoader.exe" 
Task: {1B050E50-275B-4995-892F-DCC7BAD7D3E6} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {584FD2CC-2CF9-4132-AFFF-981B40897CA0} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {AB4D1557-F25A-4EC6-9320-6731708D87C8} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {DF6C2F1D-6B84-4548-B6D7-8908845FB59C} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
C:\Users\Aleks\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
CHR HKU\S-1-5-21-1726212603-3368141132-2727344958-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
S4 ICQ Service; C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe [X]
2022-10-24 00:13 - 2022-10-24 00:32 - 000000000 ____D C:\ProgramData\IObit
FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2022-08-17] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Mediaget удалил.

Вот проделанная работа!
 

Вложения

  • Fixlog.txt
    5.8 KB · Просмотры: 3
Хорошо, только вы не скопировали весь скрипт, а всего лишь его видимую часть.
Весь скопировать удобно, нажав на кнопку Copy в верхнем правом углу скрипта. Повторите.
 
Переделал! Неловко малость получилось:Blush2:.
 

Вложения

  • Fixlog.txt
    7.2 KB · Просмотры: 3
Хорошо, резюмируем: проблема решена?
 
Отлично!
Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Вот! Еще раз вам спасибо!:Good:
 

Вложения

  • SecurityCheck.txt
    12.3 KB · Просмотры: 3
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Python 3.8.5 (64-bit) v.3.8.5150.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.6.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
Telegram Desktop version 3.6 v.3.6 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2254, 12.08.2021 Внимание! Скачать обновления
Audacity 2.4.1 v.2.4.1 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.9.3.886 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.78.8558 v.5.78.8558 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу