9 ответов в этой теме

[Warden]

Добрый день, по ошибке на левом сайте нажал не на ту кнопку "Скачать" и в результате словил вирус после установки.

Браузер (Microsoft Edge) после этого "обновился" и перезапустился.
В установленных программах ничего не нашел, поэтому просканировал CureIt и в результате он нашёл этот вирус.

Вылечить не смог, логи CureIt и SysInfo прикрепляю.

https://TransFiles.ru/pcm3s

Буду признателен за помощь!

[Severnyj]

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

Как узнать разрядность моей системы?

 

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.

Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).

Нажмите кнопку Scan (Сканировать).

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

[Warden]

Прикрепляю.

https://TransFiles.ru/tdt88

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
 

Spoiler

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\97.0.1.0\GoogleDriveFS.exe --startup_mode (No File)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\97.0.1.0\GoogleDriveFS.exe --startup_mode (No File)
HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\97.0.1.0\GoogleDriveFS.exe --startup_mode (No File)
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {8EB78610-1B31-4233-8B40-0F673A121629} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-4001979829-3267102639-2774551481-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (No File) <==== ATTENTION
Edge HKLM\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
Edge HKLM-x32\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
CHR HKLM\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
U4 npcap_wifi; no ImagePath
2025-10-03 14:46 - 2025-10-03 14:46 - 000000000 ____D C:\ProgramData\h9tepmpw
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> No File
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> No File
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> No File
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [32]
SearchScopes: HKU\S-1-5-21-4001979829-3267102639-2774551481-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowershell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

[Warden]

Сделал.

https://TransFiles.ru/mbwjc

[Severnyj]

Сообщите, что с проблемой?

[Warden]

Сообщите, что с проблемой?

 Просканировал систему 2 раза с открытым MEdge и без - проблема не найдена.

Осталось небольшая тревога т.к. это был .exe файл, который "обновил" браузер.
Но если ничего не было найдено, то с вирусом покончено я полагаю.

Очень признателен за помощь, спасибо вам!

[Severnyj]

Была одна вирусная пустая папка. Тут 1 из 2, либо троян был удален Защитником, либо все свои дела сделал и удалился. Поэтому советую сделать сброс настроек браузера, переустановить расширения из магазина и сменить пароли.

 

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.

Компьютер будет перезагружен автоматически.

 

Обновите ПО:

 

7-Zip 24.09 (x64)

Java 8 Update 361 (64-bit)

Microsoft Edge

VLC media player

WinRAR 5.30 (64-разрядная)

 

Обратите внимание, что для Office 2016 c 25.10.2025 г перестанут выходить обновления безопасности. Задумайтесь о переходе на актуальную версию Office  (2021 или 2024) или его аналоги, например Libre Office, OnlyOffce.

[Severnyj]

UPD: Хотя я сейчас нашел, обновление легальное файл по VT чист (и имеет подпись Microsoft):

 

https://www.virustotal.com/gui/file/f8f3ace5c3c404342251e16381132f0453514e03e9c65cf387a21cd288552200/details

[Warden]

Я вас понял, всё сделаю по рекомендациям.

Ещё раз большое вам спасибо!