Решена Shortcut virus, вылечить который не могу

Статус
В этой теме нельзя размещать новые ответы.

xEtterna

Новый пользователь
Сообщения
9
Реакции
0
Привет.
Словил вирусняк, который не могу вылечить, при открытии в проводнике флэшки иногда вместо содержимого может выдать .lnk с содержимым на %comspec%, cmd.exe *произвольные символы*.
Чуть ранее находил вирус в папке C:\Program Files (x86)\NamesVision\. который тогда почистил. Также он закинул в Event Scheduler таску, смотри изображение:
Но всё ровно, сегодня проявилась беда на этом компьютере.


1653068383324.png

Из AV софта использовал:
ESET Online Scanner
Microsoft Safety Scanner
Malwarebytes (как раз он и удалил вирус выше)
Adwcleaner
Hetman Pro


Также, прикрепляю нужные логи:
 

Вложения

  • CollectionLog-2022.05.20-20.26.zip
    89.3 KB · Просмотры: 20
Последнее редактирование:
Sophia Script сами ставили?
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Task: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Task: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Task: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
@akok, Sophia Script я использую обычно для настройки свежей системы, находится он здесь.
По поводу FRST и HiJackThis сейчас всё сделаю.
 
Отчёт работы FRST
 

Вложения

  • Addition.txt
    42.5 KB · Просмотры: 19
  • FRST.txt
    36.5 KB · Просмотры: 20
Активного не видно, только хвосты, но скорее всего я сброшу изменения Sophia Script при чистке их (изменения) нужно будет восстановить самостоятельно.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    VirusTotal: C:\Program Files\Chatterino\chatterino.exe
    Folder: C:\Program Files (x86)\NamesVision
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
    HKU\S-1-5-21-657066422-1859050857-968791594-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
    2022-05-10 02:49 - 2015-03-10 13:01 - 000000000 ____D C:\Program Files (x86)\NamesVision
    ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
    ContextMenuHandlers3: [SendTo] -> -{7BA4C740-9E81-11CF-99D3-00AA004AE837} =>  -> No File
    ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> No File
    ContextMenuHandlers6: [Library Location] -> -{3dad6c5d-2167-4cae-9914-f99e41c12cfa} =>  -> No File
    AlternateDataStreams: C:\Users\Kurzdor\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Kurzdor\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{6619114C-DD12-4E2B-AF4A-A7C4E1342526}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fallout 4\Fallout4Launcher.exe => No File
    FirewallRules: [{DB29DF38-0BB5-4364-8BA2-A15B6EC58181}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fallout 4\Fallout4Launcher.exe => No File
    FirewallRules: [{71526671-183E-40DD-8C3A-B1FF29369228}] => (Allow) F:\Games\SteamLibrary\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{BAC8F750-F8B9-42E9-8637-6E420869688B}] => (Allow) F:\Games\SteamLibrary\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{A7E63876-9784-4EC4-9B89-84EC8ECCF839}] => (Allow) F:\Games\SteamLibrary\steamapps\common\STALKER Shadow of Chernobyl\bin\XR_3DA.exe => No File
    FirewallRules: [{7329A812-B77A-4A2B-A7D7-9906022E88C4}] => (Allow) F:\Games\SteamLibrary\steamapps\common\STALKER Shadow of Chernobyl\bin\XR_3DA.exe => No File
    FirewallRules: [{BBE56611-D3C1-4BA9-9E17-C821168A4BEF}] => (Allow) F:\Games\S.T.A.L.K.E.R. COP\bin\xrEngine.exe => No File
    FirewallRules: [{22B94CD7-EA2F-4AB9-A2C5-7021874A0565}] => (Allow) F:\Games\S.T.A.L.K.E.R. COP\bin\xrEngine.exe => No File
    FirewallRules: [{83D4934C-EF47-432F-B8FA-24977EAA937B}] => (Allow) F:\Games\S.T.A.L.K.E.R. COP\bin\dedicated\xrEngine.exe => No File
    FirewallRules: [{8DECB5AC-411C-4A64-96EC-CC4C5E3E2199}] => (Allow) F:\Games\S.T.A.L.K.E.R. COP\bin\dedicated\xrEngine.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
@akok, не очень понял это:
но скорее всего я сброшу изменения Sophia Script при чистке их (изменения) нужно будет восстановить самостоятельно.
Да, сейчас сделаю.
 
@akok, хмм. Fixlog показал довольно интересные строки связанные с вирусняком, который я вроде чистил раньше.
NamesVision, что удивительно то я его не видел в папках.
 

Вложения

  • Fixlog.txt
    10.2 KB · Просмотры: 18
Меня очень, очень, очень сильно смущает тот факт, что там где раньше находился вирусняк есть файлы. связанные так или иначе со Steam.
Пожалуй, поменяю пароли в срочном порядке.
Но должен напомнить, что сам вирусный .dll я грохнул с помощью Malwarebytes.
Про какой .dll я говорил есть выше в топикстартере под спойлером
 
Последнее редактирование:
Да, активная часть зловреда была удалена вами, я дочищал остатки. Пароли сменить таки стоит. Понаблюдайте за системой пока, если все будет тихо, то выдам финальные рекомендации.
 
@akok, да, вот только проблема в том, что флешки которые никогда не вставлялись почти в данный компьютер одномоментно становятся заражёнными. Это же случилось сегодня на двух компьютерах. Меня вот это смущает очень сильно. Должна же быть причина где-то зарыта.
К тому же, это не единственный ПК с такой проблемой. Но хочу сначала удостоверится, что всё ли тут нормально.
Если получится повторить заражение флешки, то постараюсь дать скриншот с содержимым ярлыка флешки, куда он ведёт.
 
Последнее редактирование:
Хорошо. Заражать не должно, но давайте отключим автозапуск с флешек, чтоб они не заражали систему
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.
 
Сделано, понаблюдаю за системой, посмотрю, повторится ли заражение.
 
@akok, повторюсь, что странный тот факт, что на другом компьютере никогда раньше не используемая флешка была заражена в тот же момент при вставке в него shortcut вирусом.
 
на другом компьютере никогда раньше не используемая флешка была заражена
Если есть возможность, для этого другого компьютера создайте отдельную тему и соберите на нём CollectionLog Автологером.
 
@xEtterna, как дела, заражение флешек продолжается?
 
  • Like
Реакции: akok
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу