Решена вирус wext.vbs

[pyrexturnmeup]

находится в пути C:\ProgramData\Microsoft

код:
Set wshShell = CreateObject("WScript.Shell")
startTime = Now
doWhileTimeout = 7 / 86400
Do While Now - startTime < doWhileTimeout
If wshShell.AppActivate("mode extensions") or wshShell.AppActivate("������������") or wshShell.AppActivate("����������") Then
wshShell.SendKeys "{ESC}"
End If
WScript.Sleep 10
Loop
If Now - startTime >= doWhileTimeout Then
WScript.Quit
End If

если удалить, то появляется заново после перезапуска

 

[Severnyj]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 QuarantineFileF('C:\Program Files (x86)\nodejs\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '');
 QuarantineFile('C:\Windows\System32\Tasks\MyNode', '');
 QuarantineFile('C:\Windows\System32\Tasks\OperaUpdate', '');
 QuarantineFile('C:\Windows\System32\Tasks\OperaUpdateTask', '');
 DeleteFile('c:\program files (x86)\nodejs\nodejs.exe', '32');
 DeleteFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteSchedulerTask('MyNode');
 DeleteSchedulerTask('OperaUpdate');
 DeleteSchedulerTask('OperaUpdateTask');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Tasks: MyNode - C:\Windows\System32\wscript.exe //nologo //B "C:\Program Files (x86)\nodejs\nodeupdate.vbs" (sign: 'Microsoft')
O22 - Tasks: OperaUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"System" /success:enable && auditpol /set /category:"Detailed Tracking" /subcategory:"Process Creation" /success:enable (sign: 'Microsoft')
O22 - Tasks: OperaUpdateTask - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[pyrexturnmeup]

готово

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
Task: {3329F29C-129D-4F9C-AAD7-C8A5F19F6862} - System32\Tasks\Opera GX scheduled Autoupdate 1739965699 => C:\Users\timec\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
C:\Users\timec\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\cfaeeokphnaockcfoknbkiibgobbhhoe
C:\Users\timec\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ofnjcljjefcobgdabinopeeminhnladk
C:\Users\timec\AppData\Local\Google\Chrome\User Data\Default\Extensions\cplobfadnenfppnnimecjkbpbkncohea
C:\Users\timec\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
2025-03-30 21:09 - 2025-05-24 16:17 - 000000000 ____D C:\Program Files (x86)\nodejs
2025-03-30 21:09 - 2025-05-24 14:06 - 000012963 _____ C:\Users\timec\ex-list2.json
2025-03-30 21:09 - 2025-05-24 14:06 - 000000383 _____ C:\Users\timec\bs-list.json
2025-03-30 21:09 - 2025-03-30 21:09 - 000000207 _____ C:\Users\timec\e-user.json
2025-03-30 21:09 - 2025-03-30 21:09 - 000000103 _____ C:\Users\timec\e-country.json
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[pyrexturnmeup]

готово

 

[Severnyj]

Сообщите, что с проблемой?

Файл вида C:\Users\timec\Desktop\24.05.2025_17.11.05.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru ссылку пришлите мне в ЛС.

 

[pyrexturnmeup]

Вирус перестал появляться. Ранее он систему и не нагружал, просто кейлогер или стилер. Сейчас он видимо убран, за это благодарность, правда, не знаю насчёт того, есть ли ещё вирусы на компьютере. В HiJackThis я повторно запустил сканирование и обнаружил, что строка
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
всё ещё остаётся после фикса.
так же там появляется около 60 строк помимо этой (не знаю просто, нормально ли это)

 

[Severnyj]

В HiJackThis я повторно запустил сканирование и обнаружил, что строка
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Включите Защитник Windows и она пропадет.

так же там появляется около 60 строк помимо этой (не знаю просто, нормально ли это)

HiJackThis не фильтрует записи на вредоносные и невредоносные он просто показывает все, что есть - и это нормально.



Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[pyrexturnmeup]

готово

 

[Severnyj]

Обновите программы:

Node.js v.22.15.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Warning! Download Update
WinRAR 7.01 (64-разрядная) v.7.01.0 Warning! Download Update
Discord v.1.0.9171 Warning! Download Update
Java 8 Update 401 (64-bit) v.8.0.4010.10 Warning! Download Update
Uninstall old version and install new one (jre-8u451-windows-x64.exe).

+++

Тема 'Рекомендации после удаления вредоносного ПО'

24 Янв 2012

1. Удалите инструменты, которые были использованы во время лечения:​

   • Как правильно удалить AVZ
   • Как правильно удалить Malwarebytes' Anti-Malware
   • Как правильно удалить AdwCleaner
   • Как правильно удалить Farbar Recovery Scan Tool

2. Создайте новую точку восстановления и удалите старые точки.​

   1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   2. Нажмите Пуск - Программы – Стандартные –...

• Severnyj
• Ответы: 0
• Форум: Разное: Инструкции и рекомендации

• 

 

[pyrexturnmeup]

благодарю