[РЕШЕНО] Trojan:Win32/Mamson.A!ml и другие видимо Трояны Windows 10

[Batyrkhan]

И снова здравствуйте, недавно скачивал подозрительную прогу и это мне обернулось боком, сканировал всеми возможными антивирусами включая самого касперского, KVRT тоже не помог,Касперский его не обнаруживает а вот Windows Defender обнаруживает, так же он обнаруживает другие трояны с другим названием, но сюдя во всему они одинаковы, так же в "Службы" отсутствуют все что нужно для Центра обновлений и когда запускаешь Microsoft Store выдает ошибку-Код: 0x80070424 и сам центр обновлений не запускается пишет "Что-то пошло не так" во время запуска устранения проблем с центром обновлений пишет-некоторые параметры безопасности отсутствуют или были изменены,на этом всё.

CollectionLog-2022.10.09-20.33.zip

Addition.txt FRST.txt

Изменено 9 октября, 2022 пользователем Batyrkhan

[Sandor]

Здравствуйте!

 

Деинсталлируйте устаревшую версию

Цитата

Java 8 Update 51 (64-bit)

Если понадобится, позже установите актуальную.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Begin
 ExecuteRepair(20);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но сеть не отключайте.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\RunOnce: [16a7c42d-5316-42a9-943a-eaf5078d284d] => "C:\Users\PC-2\AppData\Local\Temp\{1aa05bad-6f43-461b-a962-5910de1bca86}\16a7c42d-5316-42a9-943a-eaf5078d284d.cmd" (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {42AEF3C7-207A-4BDF-976E-F2CEB61E7803} - System32\Tasks\SecurityHealthSystray => C:\Recovery\OEM\SecurityHealthSystray.exe (Нет файла)
  Task: {4310F282-D419-4956-A78D-5201DA389776} - System32\Tasks\IdleI => C:\OneDriveTemp\S-1-5-21-437792947-3241286962-1720009943-1001\Idle.exe (Нет файла)
  Task: {54157E23-D34D-4A34-A538-07171EA284B2} - \GoogleUpdateTaskEditor -> Нет файла <==== ВНИМАНИЕ
  Task: {C81D4473-9CEB-4AE1-9728-39F6C0CF0E32} - System32\Tasks\SecurityHealthSystrayS => C:\Recovery\OEM\SecurityHealthSystray.exe (Нет файла)
  CHR StartupUrls: Profile 1 -> "hxxp://www.yandex.ru/?clid=937878","hxxp://mail.ru/cnt/7993/","hxxp://www.google.com","hxxp://www.yandex.ru/?win=88&clid=2060561","hxxp://mail.ru/cnt/10445","hxxp://www.google.com/","hxxps://www.google.com/"
  C:\Users\PC-2\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-437792947-3241286962-1720009943-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  FirewallRules: [TCP Query User{2663DE9D-C52B-4262-8BDB-B29CBFBA1EA3}E:\games\zona\zona.exe] => (Allow) E:\games\zona\zona.exe => Нет файла
  FirewallRules: [UDP Query User{9CB91AD9-AF58-4E48-B397-44D949B33FC0}E:\games\zona\zona.exe] => (Allow) E:\games\zona\zona.exe => Нет файла
  FirewallRules: [{66501D50-4DB8-4B5B-8D57-1B7A0A2AE88C}] => (Allow) C:\Zona\Zona.exe => Нет файла
  FirewallRules: [{8E0E068D-042A-426C-A8E0-30F5EF1F8A6F}] => (Allow) C:\Zona\Zona.exe => Нет файла
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Batyrkhan]

Здравствуйте, большое спасибо за ответ вот Fixlog.txt

Fixlog.txt

[Sandor]

Хорошо, удалите старые и соберите новые логи FRST.txt и Addition.txt

[Batyrkhan]

Держите

FRST.txt Addition.txt

[Sandor]

Защитник продолжает сейчас обнаруживать или остались только прежние записи?

[Batyrkhan]

3 минуты назад, Sandor сказал:

или остались только прежние записи?

Windows Defender перестал обнаруживать вирусы, но я не понимаю что значит "или остались только прежние записи?" кстати Центр обновлений до сих пор не работает sfc /scannow и и прочие команды видимо не работают

Изменено 10 октября, 2022 пользователем Batyrkhan

[Sandor]

Эти записи могут быть в журнале обнаружений Защитника и иногда просто "сбивают с толку".

 

Хорошо, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Batyrkhan]

Держите

SecurityCheck.txt

[Sandor]

------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.186.0904.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
Zona Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.105.0.5195.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

 

По возможности исправьте указанное.

 

Читайте Рекомендации после удаления вредоносного ПО

[Batyrkhan]

Спасибо вам большое за оперативную помощь, вирус удалён! Но центр обновлений всё еще не работает, но это уже наверное как я понял, не по вашей части) Ещё раз большое спасибо вам!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".