[РЕШЕНО] Вирус в исключении. Никак не могу удалить

[Roman2281337]

Решил проверить свой пк на наличие вирусов. В итоге некоторые я удалил самостоятельно, а вот этих дружков никак не получается. Антивирусники не видят их. Прошу помочь)

1) C:\Program files (x86)\GvOnpaFXZvHU2

2) C:\Program files (x86)\gYMHmVSPGWDVUUuusaR

3) C:\Program files (x86)\NzxRSbttU

4) C:\Program files (x86)\QIVIQrASKnUn

5) C:\Program files (x86)\vOeLpPwulUoGC

6) C:\Users\I5 3470\AppData\Local\Programs\AdLock

7) C:\Users\I5 3470\AppData\Local\Temp\tacOeYpUgHVEltuqx

😎 C:\WINDOWS\Temp\aLRrvOwWnauyLZDj

1 минуту назад, Roman2281337 сказал:

Решил проверить свой пк на наличие вирусов. В итоге некоторые я удалил самостоятельно, а вот этих дружков никак не получается. Антивирусники не видят их. Прошу помочь)

1) C:\Program files (x86)\GvOnpaFXZvHU2

2) C:\Program files (x86)\gYMHmVSPGWDVUUuusaR

3) C:\Program files (x86)\NzxRSbttU

4) C:\Program files (x86)\QIVIQrASKnUn

5) C:\Program files (x86)\vOeLpPwulUoGC

6) C:\Users\I5 3470\AppData\Local\Programs\AdLock

7) C:\Users\I5 3470\AppData\Local\Temp\tacOeYpUgHVEltuqx

😎 C:\WINDOWS\Temp\aLRrvOwWnauyLZDj

 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Roman2281337]

Не удается удалить файлы из исключения. Перепробовал уже много антивирусников (Dr.Web Kasperskiy Malwarebytes Стандартный антивирусник (Win10). Все бестолку, не видят. Пробовал делать такую же процедуру в безопасном режиме. Результата 0. Также был замечен Trojan32, виндусовым антивирусником, только он бысто исчез, и его название я не успел запомнить.

 

 

 

 

CollectionLog-2022.10.13-17.35.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Sandor]

Malwarebytes Anti-Malware, версия 2.2.1.1043 - очень устаревшая версия. Деинсталлируйте.

 

1. 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis (только следующее):

O4 - HKCU\..\Run: [CustomCursor] = C:\Users\i5 3470\AppData\Local\Blife\CustomCursor\CustomCursor.exe "/tray" (file missing)
O4 - HKCU\..\Run: [Krisp] = C:\Program Files\Krisp\Krisp.exe -s (file missing)
O4 - HKCU\..\Run: [Noise Blocker] = C:\Users\i5 3470\AppData\Roaming\Noise Blocker\Noise Blocker.exe (file missing)
O4 - HKCU\..\Run: [ProtonVPN] = C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe (file missing)
O17 - DHCP DNS 1: 193.37.68.40
O17 - DHCP DNS 2: 45.95.11.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{8a50acb7-9807-424b-96ac-75788ef3693c}: [NameServer] = 193.37.68.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{8a50acb7-9807-424b-96ac-75788ef3693c}: [NameServer] = 45.95.11.175
O22 - Tasks: \FxSound\Update - C:\Program Files\FxSound LLC\FxSound\updater.exe /silent (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: AdLock Update Task-S-1-5-21-3358251597-2243391390-2344364437-1001 - C:\WINDOWS\System32\msiexec.exe /i "C:\Users\i5 3470\AppData\Local\Programs\AdLock\9e2afd7f8c.msi" /quiet CHROME=1
O22 - Tasks: auZnRorQfhwMOMjJuKQ2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\vOeLpPwuIUoGC\oIWoQjA.dll",#1
O22 - Tasks: bKDhnXJlGqsgr2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\KRfNAFhXZjhtpEVB\rtrByOt.wsf"
O22 - Tasks: byaPONUXitHTVNDdtF - C:\Users\i5 3470\AppData\Local\Temp\cmfjHuxRXWGXOsBnB\eOczvGDGeRgcSAF\giHcNYX.exe 6X /site_id 690689 /S (file missing)
O22 - Tasks: fjXfoytFwRleVs - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\GvOnpaFXZvHU2\OTWztDtkljRTB.dll",#1
O22 - Tasks: kXVTdwZZpHJPWcf2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\NzxRSbttU\TzDkjT.dll",#1
O22 - Tasks: position-preferences - C:\ProgramData\promise-presenting\bin.exe /H (file missing)
O22 - Tasks: xpBduIDvUHoLggKyH2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\gYMHmVSPGWDVUUuusaR\mICZlzU.dll",#1
O23 - Service S3: ProtonVPN Service - C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPNService.exe (file missing)

Перезагрузите компьютер.

 

3. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Roman2281337]

отчет ClearLNK: ClearLNK-2022.10.13_19.47.00.log

 

 

3 минуты назад, Roman2281337 сказал:

CollectionLog-2022.10.13-20.08.zip

 

 

 

 

Изменено 13 октября, 2022 пользователем Roman2281337

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Roman2281337]

Addition.txt

 

 

 

FRST.txt FRST.txt

Изменено 14 октября, 2022 пользователем Roman2281337

[Sandor]

Через Панель управления - Удаление программ удалите нежелательные

Цитата

 

MediaGet

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [11] Cube.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [15] cureit.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
  HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0415C284-26BB-4765-B29D-FE67770E4DD0} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {0BF237ED-8415-4E4C-90DD-6FF0EB5129B8} - System32\Tasks\kXVTdwZZpHJPWcf2 => rundll32 "C:\Program Files (x86)\NzxRSbttU\TzDkjT.dll",#1 <==== ВНИМАНИЕ
  Task: {425777B5-896F-45AA-A99C-1FC6027016A2} - System32\Tasks\bKDhnXJlGqsgr2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\KRfNAFhXZjhtpEVB\rtrByOt.wsf" <==== ВНИМАНИЕ
  Task: {57C1B0DC-3DEB-42AF-9B7E-67AB08A309E5} - System32\Tasks\xpBduIDvUHoLggKyH2 => rundll32 "C:\Program Files (x86)\gYMHmVSPGWDVUUuusaR\mICZlzU.dll",#1 <==== ВНИМАНИЕ
  Task: {5CDC0175-2A49-4F3D-8848-DF84AC931727} - System32\Tasks\position-preferences => C:\ProgramData\promise-presenting\bin.exe /H (Нет файла)
  Task: {6FCF11C2-A4F6-4128-B35E-8010E88D2ACD} - System32\Tasks\fjXfoytFwRleVs => rundll32 "C:\Program Files (x86)\GvOnpaFXZvHU2\OTWztDtkljRTB.dll",#1 <==== ВНИМАНИЕ
  Task: {88ACACEC-B7E6-443D-AB3E-4D91431C1ABE} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8D416C98-8FCB-40A5-A9A0-CAA168012B9D} - System32\Tasks\CXxVjwHtOcirCAp => rundll32 "C:\Program Files (x86)\EXJYSpnRU\RqLpJz.dll",#1 <==== ВНИМАНИЕ
  Task: {97FFAEE3-95EC-48AE-8B2F-302770C68A24} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {CCCC9CFD-9A61-451D-94D5-73CF6AE4C14D} - System32\Tasks\auZnRorQfhwMOMjJuKQ2 => rundll32 "C:\Program Files (x86)\vOeLpPwuIUoGC\oIWoQjA.dll",#1 <==== ВНИМАНИЕ
  Task: {FB7E40AA-A463-46C7-9F24-8F2E88341814} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: C:\WINDOWS\Tasks\byaPONUXitHTVNDdtF.job => C:\Users\i5 3470\AppData\Local\Temp\cmfjHuxRXWGXOsBnB\eOczvGDGeRgcSAF\giHcNYX.exe <==== ВНИМАНИЕ
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR DefaultSearchURL: Guest Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  CHR DefaultSearchURL: System Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: System Profile -> cdn
  CHR HKU\S-1-5-21-3358251597-2243391390-2344364437-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-3358251597-2243391390-2344364437-1011\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [aemffjkmgcepimloclpkecifcnipnodh]
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  C:\Users\i5 3470\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  R2 luminati_net_updater_win_mediaget_com; C:\Users\morta\MediaGet2\Luminati-m\net_updater32.exe [9164368 2022-10-12] (Bright Data Ltd -> BrightData Ltd.)
  2022-10-14 18:19 - 2022-10-14 18:19 - 000002650 _____ C:\WINDOWS\system32\Tasks\CXxVjwHtOcirCAp
  2022-10-14 18:19 - 2022-10-14 18:19 - 000000330 _____ C:\WINDOWS\Tasks\CXxVjwHtOcirCAp.job
  2022-10-14 18:19 - 2022-10-14 18:19 - 000000000 ____D C:\Program Files (x86)\EXJYSpnRU
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [798]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [798]
  AlternateDataStreams: C:\Users\i5 3470\Application Data:NT [40]
  AlternateDataStreams: C:\Users\i5 3470\Application Data:NT2 [798]
  AlternateDataStreams: C:\Users\i5 3470\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\i5 3470\AppData\Roaming:NT2 [798]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [798]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [798]
  FirewallRules: [{80FBAF2C-58A7-44E9-A717-C38F6F19C0F3}] => (Allow) C:\Users\morta\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{6173B5E7-A5FB-4EF5-A057-60226C6AA09D}] => (Allow) C:\Users\morta\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{24259CF7-4144-4124-A2F2-71A86F11391B}] => (Allow) C:\Users\morta\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{D65ABE23-9924-41BA-BAE0-CFE925F30140}] => (Allow) C:\Users\morta\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  StartPowershell:
  # 4-14-2022 M. Naggar
  # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
  Set-MpPreference -DisableAutoExclusions $true -Force
  set-mppreference -mapsreporting basic -Force
  set-mppreference -DisableRealtimeMonitoring $false -Force
  set-mppreference -DisablePrivacyMode $true -Force
  set-mppreference -DisableIOAVProtection $false -Force
  set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
  set-mppreference -PUAProtection enabled -Force
  Set-MpPreference -DisableBehaviorMonitoring $false -Force
  Set-MpPreference -SignatureScheduleDay Everyday -force
  set-mppreference -RealTimeProtectionEnabled $true -force
  set-mppreference -OnAccessProtectionEnabled $true -force
  
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  Set-MpPreference -DisableAutoExclusions $true -Force
  Remove-all-windefend-excludes
  EndPowershell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Roman2281337]

Через панель удалить яндекс и Mediaget не удалось(их там небыло), поэтому я пропустил этот пункт.
Fixlog.txt

 

14 минут назад, Roman2281337 сказал:

Через панель удалить яндекс и Mediaget не удалось(их там небыло), поэтому я пропустил этот пункт.
Fixlog.txt

P.S Антивирусник увидел вирус 

[Sandor]

На какой файл "ругается" Защитник? Нажмите "Показать подробности".

Исключения пропали?

[Roman2281337]

Сфоткать не успел т.к он пропал, но было PrgramFiles(x86)\(перечисление символов).dll

 

[Sandor]

26 минут назад, Sandor сказал:

Исключения пропали?

Не ответили.

 

Скачайте актуальную версию Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Roman2281337]

scan.txtПодозрительные файлы в карантине.

[Sandor]

13.10.2022 в 15:46, Roman2281337 сказал:

Не удается удалить файлы из исключения

Третий раз спрашиваю - в исключениях Защитника Windows по-прежнему видны обнаружения?

 

1 час назад, Sandor сказал:

Самостоятельно ничего не помещайте в карантин!!!

Мне просто любопытно как вы поняли эту фразу специально выделенную красным цветом?

 

Хорошо. Перезагрузите компьютер и сделайте ещё одну такую же проверку программой Malwarebytes и покажите отчёт сканирования.

Изменено 17 октября, 2022 пользователем Sandor

[Roman2281337]

Исключение пропало. Спасибо, что помогли)

Вот 2-ой отчет   

scan(2.txt