Win32.Pioneer.cz не могу удалить

[nikhopka]

При рабочем Касперском как-то схватил Win32.Pioneer.cz. Каспер каждый раз что-то новое при перезагрузке находит. 

Полная проверка и быстрые проверки ничем не помогли.

KVRT не запускается.

Куреит лечит некоторые, но видимо не всё.

AVZ тоже что-то находит, но всё равно Каспер что-то находит постоянно.

Как победить? Что за дрянь засела?

CollectionLog-2022.07.06-01.43.zip

[nikhopka]

Каспер ещё постоянно лечит файлы в заражённой системе.

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ удалите устаревший и прекративший поддержку

Цитата

Adobe Flash Player ActiveX & Plugin 64-bit

 

Прокси настраивали самостоятельно?

Цитата

Internet Settings: [AutoConfigURL] = hxxps://antizapret.prostovpn.org

 

Ещё вопрос:

6 часов назад, nikhopka сказал:

KVRT не запускается.

Молча не запускается или есть ошибка?

[nikhopka]

38 minutes ago, Sandor said:

удалите устаревший и прекративший поддержку

Удалил. 

38 minutes ago, Sandor said:

Прокси настраивали самостоятельно?

По-умолчанию ставлю обычно для IE, только не понял почему протокол какой-то левый...  "hxxps"

Нужно убрать это дело?

39 minutes ago, Sandor said:

Молча не запускается или есть ошибка?

Сейчас как ни странно запустился. Даже что-то нашёл.

Пока в процессе.

 

Что ещё можно пока сделать?

 

[Sandor]

Это я специально изменил.

4 минуты назад, nikhopka сказал:

запустился. Даже что-то нашёл.

Пока в процессе.

По окончании упакуйте папку C:\KVRT2020_Data\Reports в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[nikhopka]

Залил всё.

Reports.rar FRST.rar

 

Честно говоря, ничего не понимаю, каспер все файлы уже перелечил много раз, они каждый раз заново вылазят заражённые, как пример:

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2700577055-1506034577-2931244673-1000\...\MountPoints2: {e795b694-b3e1-11eb-a973-b42e99909896} - "G:\HiSuiteDownLoader.exe" 
  AppInit_DLLs-x32: Q:\-PROGR~1\ПРОГИ\ABBYYF~1.468\FINERE~1\GDl32.dll => Нет файла
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Cartman\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2700577055-1506034577-2931244673-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2700577055-1506034577-2931244673-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2700577055-1506034577-2931244673-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart3"
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
  FirewallRules: [{B703764D-D443-47E9-ADF0-B6AF593FE2AC}] => (Allow) LPort=8320
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[nikhopka]

17 minutes ago, Sandor said:

Программа создаст лог-файл (Fixlog.txt)

Таки до сих пор находит.

Fixlog.txt

[Sandor]

Пролечите систему с помощью KRD. Скачивать и создавать диск/флешку следует на другом, заведомо здоровом компьютере.

[nikhopka]

4 minutes ago, Sandor said:

Пролечите систему с помощью KRD

Это не аналогично запуску KVRT на WinPE? Или именно этот вариант нужно пробовать?

Изменено 6 июля, 2022 пользователем nikhopka

[Sandor]

Нет, не аналогично. Да, делайте этот вариант.

[nikhopka]

1 hour ago, Sandor said:

Нет, не аналогично. Да, делайте этот вариант.

Спасибо, вроде успех, больше не ругается.

Нашёл где-то внутри SaFlashPlayer, пролечил и каспер основной более не ругается.

[Sandor]

Для верности давайте ещё так проверим:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[nikhopka]

8 minutes ago, Sandor said:

Отчёт прикрепите к сообщению.

 

MB4.txt

[Sandor]

Удалить (поместить в карантин) можно всё, кроме активатора (если, конечно, им пользуетесь).

После этого перезагрузите компьютер и соберите ещё раз лог сканирования.