Решена Вредоносное ПО Cryptowall Ramsomware

Статус
В этой теме нельзя размещать новые ответы.

MONARX

Новый пользователь
Сообщения
38
Реакции
0
Доброго дня, суть дела в том что столкнулся с самым противным вирусом за все время пользования ПК. Установил случайно с какой то прогой, удалила много функций из винды, создание папок, настройку меню, доступ к меню архиватора и т.п. Частично все восстановил назад. Теперь начал лезть в игры, инфицирует QtWebEngineProcess.exe и вешает игры например Genshin Impact стоит запустить через минут 10 процесс лезет в EXE и все виснет. Пробовал разные антивирусы 360, Kaspersky, Eset, AVG, Dr.WEB его ни один не видит. Awd Cleaner не видит так же, единственно кто смог распознать это, SpyHunter. Но, толку мало после удаления это назад сразу возвращается и опять начинается все заново. В общем прошу помогите выкинуть с компа , пожалуйста.

Whats-App-Image-2023-02-17-at-22-00-57.jpg
 
SpyHunter - это лже-полезняшка, она Вам еще не то найдет и будет требовать для удаления купить полную версию :Biggrin: Удалите через Установку программ.

Правила оформления запроса
 
Последнее редактирование:
Присутствие майнер вируса точно обнаружено, он тщательно скрывается в системе, не знаю где его можно найти, все попытки поиска без смыслены, потрачено не один день. Не один антивирус либо программы Anti malware его не находят. Разновидность Qt5 майнера. Лезет в игры и установка удаление не помогает он ставится вместе с программой обратно. Более 5 раз удалял через SpyHunter 4 но он обратно возвращается.

Whats-App-Image-2023-02-19-at-14-03-06.jpg Virus.jpg
 
Сразу сделал из 2-х программ AVZ и FRST. Да я забыл еще кое что раньше этот вирус лез в драйвера видеокарты и вылетали синие экраны со ссылкой на Qt5Core.dll, по мимо этого на жестком диске через определенный дефрагментатор было обнаружено создание достаточно большого по размерам файла источник которого не возможно отследить. Т.е. пишет удалено каким то приложением. И это еще не все, через другую прогу в яндекс браузере был найден троян, который после удаления перешел в edge.
virus.jpg
Удалял уже его 3 раза. Бесполезно. Кроме того установлена 360 Total Security, ничего не находит.
 

Вложения

  • avz_log.txt
    66.6 KB · Просмотры: 0
  • FRST64.rar
    35.9 KB · Просмотры: 1
Последнее редактирование:
Сразу сделал из 2-х программ AVZ и FRST
Сразу ничего самостоятельно не нужно делать. Прочтите внимательно выше указанную инструкцию. Нужно запустить Autologger и прикрепить созданный им архив с именем CollectionLog.zip
 
Зачем нам архив с самой утилитой, если от Вас требуется внимательно прочитать инструкцию и прислать архив с логами.
 
Извиняюсь загрузил не то, хотел скинуть логи перепутал архив.
 

Вложения

  • CollectionLog-2023.02.20-13.14.zip
    81.5 KB · Просмотры: 4
Последнее редактирование:
Давайте для начала очистим все установленные (и ранее установленные) антивирусы.

Через Пуск - Параметры - Приложения - деинсталлируйте:
360 Total Security
Bitdefender Agent
Kaspersky Anti-Ransomware Tool for Home
Malwarebytes Anti-Exploit version 1.13.1.125
Malwarebytes Anti-Ransomware version 0.9.20.555
Security Task Manager 2.4
Zemana AntiMalware, версия 3.2.27
После удаления каждой программы делайте перезагрузку системы.

Также удалите нежелательное ПО:
Ashampoo WinOptimizer 25 v25.00.14
Asmwsoft PC optimizer
Combo Cleaner
IObit Driver Booster 7.3.0.675
IObit Uninstaller 11
Wondershare AllMyTube(Build 4.10.2.3)
Wondershare AllMyTube(Build 7.4.9.2)
Wondershare Filmora 10.1.20.16
Wondershare Helper Compact 2.5.3
Перезагрузите компьютер ещё раз.

Скачайте инструмент очистки следов антивируса Comodo, запустите и сделайте очистку.
Очередной раз перезагрузите компьютер.

Удалите старые логи Farbar и соберите новые по этой инструкции:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Comodo инструмент не работает, ничего не происходит.
 

Вложения

  • Addition.txt
    94.1 KB · Просмотры: 1
  • FRST.txt
    64.3 KB · Просмотры: 1
IObit Driver Booster 7.3.0.675 почему не удалили? Если стандартно не получается, удалите принудительно через Geek Uninstaller

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [360safeuninst_90a1ea8e160e134aefec2fc6c18d30ce] => C:\Users\SAMURAI\AppData\Local\Temp\90a1ea8e160e134aefec2fc6c18d30ce_remove360.bat [637 2023-02-21] () [Файл не подписан] <==== ВНИМАНИЕ
    HKLM\...\Run: [Combo Cleaner] => "D:\Combo Cleaner\ComboCleaner.exe" -minimized (Нет файла)
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    C:\Users\SAMURAI\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\caiblelclndcckfafdaggpephhgfpoip
    Edge HKLM-x32\...\Edge\Extension: [caiblelclndcckfafdaggpephhgfpoip]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S2 AntiRansom6.1; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 6.1\kl_service.exe" srv [X]
    S2 CyberGhost8Service; отсутствует ImagePath
    S4 QHActiveDefense; "D:\360\Total Security\safemon\QHActiveDefense.exe" [X]
    S4 QHProtected; "D:\360\Total Security\safemon\WscReg.exe" [X]
    S3 WireGuardTunnel$VPNUWireguard; отсутствует ImagePath
    U4 CmdAgent; отсутствует ImagePath
    AV: Total AV (Disabled - Up to date) {0567E33F-93C9-11B5-891D-90A37AEB2766}
    AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
    AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
    Combo Cleaner (HKLM\...\{8C9F8853-52F7-46F3-BC78-98001D3FF40C}) (Version: 1.0.58.0 - RCS LT) Hidden
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\Users\SAMURAI\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\SAMURAI\Application Data:0648bfb67b9412d011bfb65ef865ad36 [394]
    AlternateDataStreams: C:\Users\SAMURAI\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\SAMURAI\AppData\Roaming:0648bfb67b9412d011bfb65ef865ad36 [394]
    FirewallRules: [{C8C82432-B45A-49A0-86EC-D0550E494819}] => (Allow) LPort=135
    FirewallRules: [{785320C7-6196-47EA-94F8-106B859B03F7}] => (Allow) LPort=445
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки в перечне установленных программ появится скрытый ранее
Удалите.
 
Уже удален, что касается Combo Cleaner он не поддавался удалению. Решилось принудительным удалением через Greek.
 

Вложения

  • Fixlog.txt
    8.1 KB · Просмотры: 1
Последнее редактирование:
360 удален
 

Вложения

  • FRST.txt
    63.8 KB · Просмотры: 1
  • Addition.txt
    91.1 KB · Просмотры: 1
Нет, следы ещё видны.

Следы антивируса Касперского тоже удалите с помощью Kavremover.

Следующий скрипт выполните в безопасном режиме.

  • Выделите следующий код:
    Код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    S4 QHActiveDefense; "D:\360\Total Security\safemon\QHActiveDefense.exe" [X]
    S4 QHProtected; "D:\360\Total Security\safemon\WscReg.exe" [X]
    R3 360AvFlt; C:\Windows\SysWOW64\DRIVERS\360AvFlt.sys [95232 2023-02-16] (Qihoo 360 Software (Beijing) Company Limited -> 360.cn)
    R3 360netmon; C:\Windows\System32\DRIVERS\360netmon.sys [96424 2023-02-16] (Qihoo 360 Software (Beijing) Company Limited -> 360.cn)
    R3 360Box64; system32\DRIVERS\360Box64.sys [X]
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    2023-02-21 12:25 - 2023-02-21 12:25 - 000000000 __SHD C:\ProgramData\360Quarant
    2023-02-21 12:19 - 2023-02-16 09:11 - 000540416 _____ (360.cn) C:\Windows\system32\Drivers\360FsFlt.sys.760
    2023-02-21 12:19 - 2023-02-16 09:11 - 000360664 _____ (360.cn) C:\Windows\system32\Drivers\360Box64.sys.518
    2023-02-21 12:19 - 2023-02-16 09:11 - 000238304 _____ (360.cn) C:\Windows\system32\Drivers\BAPIDRV64.SYS.upd
    2023-02-21 12:19 - 2023-02-16 09:11 - 000199896 _____ (360.cn) C:\Windows\system32\Drivers\360AntiHacker64.removed
    2023-02-21 12:19 - 2023-02-16 09:11 - 000096424 ____N (360.cn) C:\Windows\system32\Drivers\360netmon.sys
    2023-02-21 12:19 - 2023-02-16 09:11 - 000095232 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
    2023-02-21 12:19 - 2023-02-16 09:11 - 000095232 _____ (360.cn) C:\Windows\system32\Drivers\360AvFlt.sys.000
    2023-02-19 07:18 - 2023-02-21 10:17 - 000000000 ____D C:\ProgramData\Malwarebytes
    2023-02-19 07:12 - 2023-02-21 10:17 - 000000000 ____D C:\ProgramData\Malwarebytes Anti-Exploit
    2023-02-17 20:30 - 2023-02-17 20:30 - 000000000 ____D C:\ProgramData\MB3Install
    2023-02-17 20:26 - 2023-02-21 10:47 - 000000000 __SHD C:\$360Section
    2023-02-17 20:19 - 2023-02-20 06:57 - 000000000 ____D C:\Windows\Tasks\360Disabled
    2023-02-17 20:14 - 2023-02-21 12:25 - 000000000 ____D C:\Users\SAMURAI\AppData\Roaming\360DesktopLite
    2023-02-17 19:16 - 2023-02-19 07:18 - 000000000 ____D C:\Program Files\Malwarebytes
    2023-01-12 17:41 - 2017-03-10 11:38 - 000025768 _____ C:\Windows\SysWOW64\sh4native.exe
    AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FirewallRules: [{B984106A-0BFB-460F-AD01-425F85044ED4}] => (Allow) K:\Malwarebytes Anti-Malware Premium 2.2.1.1043 Final [Rev5 DC 25.08.2019] (2019) РС  PortableAppZ\MalwarebytesPremiumPortable-2.2.1.1043R5\App\Malwarebytes\mbam.exe => Нет файла
    FirewallRules: [{F7876C22-3731-438B-A42A-07DF2637DFA7}] => (Allow) K:\Malwarebytes Anti-Malware Premium 2.2.1.1043 Final [Rev5 DC 25.08.2019] (2019) РС  PortableAppZ\MalwarebytesPremiumPortable-2.2.1.1043R5\App\Malwarebytes\mbam.exe => Нет файла
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Выполнено, 360 пропал вроде как.
 

Вложения

  • Fixlog.txt
    5.3 KB · Просмотры: 1
Да удален, запускал ремовер, комп перезагрузился.
 
Хорошо. Сделайте проверку с помощью KVRT.
Отчёт упакуйте в архив и прикрепите.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу