19 ответов в этой теме

[Ramo2o2o]

При удалении из автозагрузок и из папок после перезагрузки появляется снова.DrWebCureit не справляется и не удаляет файл.

 

Путь до вируса - C:\ProgramData

 

 

Помогите пожалуйста! Уже не знаю что делать.
 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Ramo2o2o]

Лог из Drwebcureit - https://drive.google.com/file/d/1V2N-ABp5QBM6-QXbINgQXS0Ndtn9dws1/view

 

Лог из DrWeb SysInfo - https://drive.google.com/file/d/1P7GfSE2kt_m1pw7-G4MTVM8WK9wJFs00/view

[Alexander007]

Добрый день , ждать ответа , кто нибудь зайдет и поможет .

[Vvvyg]

Лог из Drwebcureit - https://drive.google.com/file/d/1V2N-ABp5QBM6-QXbINgQXS0Ndtn9dws1/view

 

Лог из DrWeb SysInfo - https://drive.google.com/file/d/1P7GfSE2kt_m1pw7-G4MTVM8WK9wJFs00/view

По обоим ссылкам - лог CureIt.

[Ramo2o2o]

 

Лог из Drwebcureit - https://drive.google.com/file/d/1V2N-ABp5QBM6-QXbINgQXS0Ndtn9dws1/view

 

Лог из DrWeb SysInfo - https://drive.google.com/file/d/1P7GfSE2kt_m1pw7-G4MTVM8WK9wJFs00/view

По обоим ссылкам - лог CureIt.

Нет первая ссылка DrWeb SysInfo, просто местами перепутал

[Alexander007]

Скачайте , Доктор Веб ( комплексную установку ) -  поменять имя на циферку 123drws.exe - запусти установку , проведи полную проверку ( не CureIT , а сканером) .  После этого , свежее Dr.Web Sysinfo .  

 

+ еще сделать :

 

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

 

Нажмите кнопку Сканировать.

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.

Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Сообщение было изменено Alexander007: 07 Сентябрь 2024 - 18:45

[Ramo2o2o]

Скачайте , Доктор Веб ( комплексную установку ), где ее взять подскажите пожалуйста(

[Alexander007]

Скачайте , Доктор Веб ( комплексную установку ), где ее взять подскажите пожалуйста(

https://products.drweb.ru/win/security_space/ - вот

[Ramo2o2o]

https://drive.google.com/file/d/11MYKUPS4Ts9oRXZ_cad8g4DaJMMLy4KE/view?usp=sharing

[mike 1]

Ramo2o2o не выполняйте никаких рекомендаций от Alexander007. У него нет прав отвечать и оказывать какую либо поддержку с устранением последствий вирусного заражения. Человек даже писать не умеет, не говоря уже о помощи в устранении последствий вирусных заражений.  

[Ramo2o2o]

Ну а что мне остается, если только он мне отвечает за такое время

[NickM]

Человек даже писать не умеет

Автопереводчик же!

[Alexander007]

Криминального ничего нет. Только мусор  в майнере.

 

Ramo2o2o

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
CloseProcesses:
Unlock C:\FRST
2024-09-08 21:30 C:\DrWeb Quarantine
2024-09-01 10:46 C:\Program Files\AVAST Software
2024-09-01 10:46 C:\Program Files\AVG
2024-09-01 10:46 C:\Program Files\Bitdefender Agent
2024-09-01 10:46 C:\Program Files\ByteFence
2024-09-01 10:46 C:\Program Files\Cezurity
2024-09-01 10:46 C:\Program Files\COMODO
2024-09-01 10:46 C:\Program Files\Enigma Software Group
2024-09-01 10:46 C:\Program Files\EnigmaSoft
2024-09-01 10:46 C:\Program Files\ESET
2024-09-01 10:46 C:\Program Files\HitmanPro
2024-09-01 10:46 C:\Program Files\Kaspersky Lab
2024-09-01 10:46 C:\Program Files\Loaris Trojan Remover
2024-09-04 19:06 C:\Program Files\Malwarebytes
2024-09-01 10:46 C:\Program Files\NETGATE
2024-09-01 10:46 C:\Program Files\Process Hacker 2
2024-09-01 10:46 C:\Program Files\Process Lasso
2024-09-01 10:46 C:\Program Files\QuickCPU
2024-09-01 10:46 C:\Program Files\Rainmeter
2024-09-01 10:46 C:\Program Files\Ravantivirus
2024-09-01 10:46 C:\Program Files\ReasonLabs
2024-09-01 10:46 C:\Program Files\RogueKiller
2024-09-01 10:46 C:\Program Files\SpyHunter
2024-09-01 10:46 C:\Program Files\SUPERAntiSpyware
2024-09-01 10:46 C:\Program Files\Transmission
2024-09-01 10:46 C:\Program Files (x86)\360
2024-09-01 10:46 C:\Program Files (x86)\AVAST Software
2024-09-01 10:46 C:\Program Files (x86)\AVG
2024-09-01 10:46 C:\Program Files (x86)\Cezurity
2024-09-01 10:46 C:\Program Files (x86)\GPU Temp
2024-09-01 10:46 C:\Program Files (x86)\GRIZZLY Antivirus
2024-09-01 10:46 C:\Program Files (x86)\Microsoft JDX
2024-09-01 10:46 C:\Program Files (x86)\Moo0
2024-09-01 10:46 C:\Program Files (x86)\Panda Security
2024-09-01 10:46 C:\Program Files (x86)\SpeedFan
2024-09-01 10:46 C:\Program Files (x86)\SpyHunter
2024-09-01 10:46 C:\Program Files (x86)\Transmission
2024-09-01 10:46 C:\Program Files (x86)\Wise
2024-09-01 10:46 C:\Program Files\Common Files\AV
2024-09-01 10:46 C:\Program Files\Common Files\McAfee
2024-09-01 10:46 C:\ProgramData\360safe
2024-09-01 10:46 C:\ProgramData\AVAST Software
2024-09-01 10:46 C:\ProgramData\Avira
2024-09-01 10:46 C:\ProgramData\BookManager
2024-09-01 10:46 C:\ProgramData\ESET
2024-09-01 10:46 C:\ProgramData\Evernote
2024-09-01 10:46 C:\ProgramData\FingerPrint
2024-09-01 10:46 C:\ProgramData\grizzly
2024-09-01 10:46 C:\ProgramData\Kaspersky Lab
2024-09-01 10:46 C:\ProgramData\McAfee
2024-09-01 10:46 C:\ProgramData\Norton
2024-09-01 10:46 C:\ProgramData\princeton-produce
2024-09-01 10:46 C:\ProgramData\PuzzleMedia
2024-09-01 10:46 C:\ProgramData\RobotDemo
2024-09-01 10:46 C:\ProgramData\WavePad
2024-09-01 10:46 C:\Users\sh1nra\Downloads\AutoLogger
2024-09-01 10:46 C:\Users\sh1nra\Downloads\AV_block_remover
2024-09-01 10:46 C:\Users\sh1nra\AppData\Roaming\Sysfiles
FirewallRules: [{AD4410D0-E667-4E77-9A55-33AF92B7BAF5}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{346A1321-0D0A-479D-B1EB-70271F21758A}] => (Allow) LPort=3389
S3 WinRing0_1_2_0; C:\ProgramData\WindowsTask\WinRing0x64.sys [14544 2021-11-04] (Noriyuki MIYAZAKI -> OpenLibSys.org)
Unlock: R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ВНИМАНИЕ (Доступ не разрешён)
Unlock: S3 MBVpnTunnelService; C:\Program Files\Malwarebytes\Anti-Malware\MBVpnTunnelService.exe <==== ВНИМАНИЕ (Доступ не разрешён)
HKU\S-1-5-21-2988010791-3511543704-1860946452-1001\...\Policies\Explorer: [DisallowRun] 1
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Сообщение было изменено Alexander007: 09 Сентябрь 2024 - 01:01

[Alexander007]

Удалите Malwarebytes , оставить один антивирус .

[AndreyKa]

Здравствуйте.

 

Трояны восстанавливаются из архива

C:\programdata\microsoft\windows\ueejhph8q8bjgntb0\game.exe

Запускает его задание Windows

\Microsoft\Windows\MasterDataY\RecoveryHosts
Как открыть планировщик заданий Windows 10 https://dzen.ru/a/X-ScWPx0yE3tJ0br

Сообщение было изменено AndreyKa: 09 Сентябрь 2024 - 07:23

[Alexander007]

+

 

https://www.virustotal.com/gui/file/3d017fd684aaa0b3c1ae152c42fee92f0102b53ac0133381c5a8695e0434e113?nocache=1. - этот сэмпл , но смотрю ( слабенькие детекты ) .Можно выслать вирлаб на vms.drweb.ru -на проверку

C:\programdata\microsoft\windows\ueejhph8q8bjgntb0\game.exe

 

- укажите номер тикет .

Сообщение было изменено Alexander007: 09 Сентябрь 2024 - 09:18

[Ramo2o2o]

1

Сообщение было изменено Ramo2o2o: 09 Сентябрь 2024 - 17:53

[Ramo2o2o]

вот это помогло, спасибо

 

 

Здравствуйте.

 

Трояны восстанавливаются из архива

C:\programdata\microsoft\windows\ueejhph8q8bjgntb0\game.exe

Запускает его задание Windows

\Microsoft\Windows\MasterDataY\RecoveryHosts
Как открыть планировщик заданий Windows 10 https://dzen.ru/a/X-ScWPx0yE3tJ0br

[Ramo2o2o]

там батник лежал который создавал все трояны, всем спасибо!!!!!!!!!!!!!!!!!! огромное