Решена Здравствуйте, попал на комп вирус Backdoor:MSIL/Bladabindi!mclg
- Автор темы L1nZor'
- Дата начала
- Статус
- Сообщения
- 15,437
- Реакции
- 3,278
Добрый день! Преобрёл ноутбук совсем недавно, установил Windows 10 Pro (x64) самостоятельно, после этого начали появляться сообщения об этом вирусе. Прошу помочь удалить вирус. Как я понял по подробному описаню угрозы в Windows Defender, затронутый элемент: amsi: \Device\HarddiskVolume3\Recovery\chrome.exe. Скорее всего виноват Google Chrome.
Пожалуйста, помогите решить эту проблему.
Пожалуйста, помогите решить эту проблему.
Последнее редактирование:
- Сообщения
- 15,437
- Реакции
- 3,278
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
"Пофиксите" в HijackThis:
Видны следы бывших установок антивирусов Avast и BitDefender.
Очистите их по соотв. инструкции - Чистка системы после некорректного удаления антивируса.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Работа\Заявки\taskhostw.exe', '');
DeleteSchedulerTask('ALEKSA');
DeleteSchedulerTask('taskhostw');
DeleteSchedulerTask('taskhostwt');
DeleteSchedulerTask('TextInputHost');
DeleteSchedulerTask('TextInputHostT');
DeleteSchedulerTask('WMIC');
DeleteSchedulerTask('WMICW');
DeleteFile('C:\Работа\Заявки\taskhostw.exe', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
"Пофиксите" в HijackThis:
Код:
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - presentВидны следы бывших установок антивирусов Avast и BitDefender.
Очистите их по соотв. инструкции - Чистка системы после некорректного удаления антивируса.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
- Сообщения
- 15,437
- Реакции
- 3,278
Хорошо, логи уже выглядят лучше.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 15,437
- Реакции
- 3,278
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус, но не отключайте сеть.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-4211780884-1246347269-3944577608-1001\...\MountPoints2: {5d7015eb-4941-11ed-b867-940853370592} - "D:\HiSuiteDownLoader.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-4211780884-1246347269-3944577608-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 15,437
- Реакции
- 3,278
То есть, Защитник по-прежнему показывает угрозы? Там же их удалить или поместить в карантин можете?
Сделайте дополнительно:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Сделайте дополнительно:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
- Сообщения
- 15,437
- Реакции
- 3,278
Сделайте так:
- деинсталлируйте через Панель управления - Удаление программ µTorrent и QGNA (если понадобятся, установите после ещё раз).
- перезагрузите компьютер и повторно сделайте сканирование в Malwarebytes и прикрепите новый лог.
- Статус