Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! Подцепил троян при  распаковке утилиты из архива. Самостоятельно вывести не получилось. Видел решёный топик — topic/87381 с приложенным скриптом, только т.к. не компетентен в данном вопросе, лучше уточню что именно сделать в моей ситуации. Ниже прикрепляю архивы из CollectionLog и Farbar Recovery Scan Tool. Заранее благодарю за ответ.

CollectionLog-2022.07.04-18.32.zip frst_addition.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Кроме того, что Защитник среагировал на некоторые файлы, какие-то ещё внешние признаки заражения наблюдаете?


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Advanced SystemCare

IObit Uninstaller 11

Smart Defrag 6

 

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Изначально не мог удалить файл который при заражении появился, затем при перезагрузке/включении ноутбука в долю секунды открывалось и пропадало два окна терминала — так как это происходило очень быстро, то возможности увидеть что там было нет.

Отчёт прикрепляю.

Также у меня в автозагрузке 4 строки с надписью "program" о которых я ничего не знаю. Подскажите, пожалуйста, утилиту или как я могу вручную полностью убрать всё лишние процессы?

Заранее благодарю за ответ.

На данный момент после выполненных действий и перезагрузке терминалы не появлялись.

AdwCleaner[S00].txt

Изменено пользователем helnmiir
Ссылка на сообщение
Поделиться на другие сайты

Чем из предустановленного ПО от Lenovo не пользуетесь, удалите стандартно, через Удаление программ. Тут в AdwCleaner отмечать его галочками не нужно.

Остальное чистим:

 

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Отчёт AdwCleaner[C00].txt тоже покажите.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {A112C952-56EF-4C25-A106-DA593659C7F4} - System32\Tasks\ASC_SkipUac_helnmiir => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Нет файла)
    Task: {E91EC239-004B-45B8-AB55-BAF96998AA90} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (Нет файла)
    FF user.js: detected! => C:\Users\helnmiir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2021-05-04]
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ВНИМАНИЕ
    S2 AdvancedSystemCareService15; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
    S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
    S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
    S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
    S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте. 

Некоторое время не было возможности посетить форум, на данный момент вроде как ничего не находит.

Благодарю Вас за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, спасибо, что ответили.

 

Завершающие шаги:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ruby_Heart
      От Ruby_Heart
      Здравствуйте, подозреваю на своем компьютере вирус, который делает ботнет из компьютера, он заменяет системные файлы,   плодит бесконечные desktop.ini, мимикрирует под службы( intel, realtek ,microsoft), а также запускает без моего ведома виртуальную машину. Виртуалку удалось отключить только путем отключения виртуализации в биос. Доктор веб и kaspersky rescue tool ничего не находят. Прикладываю отчеты FRST. Заметил такую вещь, что когда пытался восстановиться с точки восстановления - это стало невозможно, он ссылался на битый С: раздел, после рекомендованного chkdsk точка пропала.
      Addition_02-07-2022 15.03.02.txt drivers.txt FRST_02-07-2022 15.03.02.txt
    • Sudar
      От Sudar
      Периодически Касперский находит Trojan.Multi.GenAutorunReg.a
      Вылечить не может, никак.
      Помогите справиться - он меняет нам пароль на пользователя sa в SQL.
      CollectionLog-2022.05.27-11.30.zip
    • Scotty
      От Scotty
      Приветствую. Сегодня на своём ПК открыл файл размером 450 МБ расширение scr (не буду вдаваться в подробности). При попытке открытия файл сразу после двойного клика он моментально удалился антивирусом Kaspersky Security Cloud, а в отчетах отобразилось, что обнаружен, остановлен и удалён объект Trojan.Win32.Badex.c . Гуглил этот Бадекс, но ничего не нашёл. Что это за троян? Да, он удалён, но каковы последствия моей попытки его запуска? Не оставил ли он после себя какую-то активность? На данный момент я произвёл полную проверку и ничего не обнаружено. Но тем не менее хотел бы узнать тут, есть ли что-то, что антивирус мог не обнаружить? Могло ли что-то остаться в системе от этого Трояна? Или я дал недостаточно информации?
    • Shmaister
      От Shmaister
      MEM:Trojan.Win64.Generic.mem не удаляется после перезагрузки, каждый раз появляется вновь. Помогите решить проблему
    • SilverDevice
×
×
  • Создать...