[РЕШЕНО] Вирус Mysql в папке Fonts

[4kricoy]

Как то словил вирус-майнер. Программой RogueKiller нашло 3 папки, однако удалить их программа не смогла. Пытался загрузить антивирус с флешки через Бут-меню однако выдает ошибку, мол нету достаточно прав. При попытке сбросить виндовс издается звук ошибки и ничего не происходит. Никакие известные антивирусы тоже не устанавливаются, а сайты их вообще не грузят. Посмотрел на форумах, но ничего не понял. Помогите пожалуйста, компьютеру всего месяц, терять не хочется.

[4kricoy]

CollectionLog-2022.12.17-19.00.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Пофиксите следующие строчки в HiJackThis (HiJackThis запускайте из папки Автологгера и от имени Администратора)

 

O1 - Hosts: Reset contents to default
O1 - Hosts: 8.8.8.8 codeload.github.com
O1 - Hosts: 8.8.8.8 support.kaspersky.ru
O1 - Hosts: 8.8.8.8 kaspersky.ru
O1 - Hosts: 8.8.8.8 virusinfo.info
O1 - Hosts: 8.8.8.8 forum.kasperskyclub.ru
O1 - Hosts: 8.8.8.8 cyberforum.ru
O1 - Hosts: 8.8.8.8 soft-file.ru
O1 - Hosts: 8.8.8.8 360totalsecurity.com
O1 - Hosts: 8.8.8.8 cezurity.com
O1 - Hosts: 8.8.8.8 www.dropbox.com
O1 - Hosts: 8.8.8.8 193.228.54.23
O1 - Hosts: 8.8.8.8 spec-komp.com
O1 - Hosts: 8.8.8.8 eset.ua
O1 - Hosts: 8.8.8.8 regist.safezone.cc
O1 - Hosts: 8.8.8.8 programki.net
O1 - Hosts: 8.8.8.8 safezone.cc
O1 - Hosts: 8.8.8.8 www.esetnod32.ru
O1 - Hosts: 8.8.8.8 www.comss.ru
O1 - Hosts: 8.8.8.8 forum.oszone.net
O1 - Hosts: 8.8.8.8 blog-pc.ru
O1 - Hosts: 8.8.8.8 securrity.ru
O1 - Hosts: 8.8.8.8 norton.com
O1 - Hosts: 8.8.8.8 vellisa.ru
O1 - Hosts: 8.8.8.8 download-software.ru
O1 - Hosts: 8.8.8.8 drweb-cureit.ru
O1 - Hosts: 8.8.8.8 softpacket.ru
O1 - Hosts: 8.8.8.8 www.kaspersky.com
O1 - Hosts: 8.8.8.8 www.avast.ua
O1 - Hosts: 8.8.8.8 www.avast.ru
O1 - Hosts: 8.8.8.8 zillya.ua
O1 - Hosts: 8.8.8.8 safezone.ua
O1 - Hosts: 8.8.8.8 vms.drweb.ru
O1 - Hosts: 8.8.8.8 www.drweb.ua
O1 - Hosts: 8.8.8.8 free.drweb.ru
O1 - Hosts: 8.8.8.8 biblprog.org.ua
O1 - Hosts: 8.8.8.8 free-software.com.ua
O1 - Hosts: 8.8.8.8 free.dataprotection.com.ua
O1 - Hosts: 8.8.8.8 www.drweb.com
O1 - Hosts: 8.8.8.8 www.softportal.com
O1 - Hosts: 8.8.8.8 www.nashnet.ua
O1 - Hosts: 8.8.8.8 softlist.com.ua
O1 - Hosts: 8.8.8.8 it-doc.info
O1 - Hosts: 8.8.8.8 esetnod32.ru
O1 - Hosts: 8.8.8.8 blog-bridge.ru
O1 - Hosts: 8.8.8.8 remontka.pro
O1 - Hosts: 8.8.8.8 securos.org.ua
O1 - Hosts: 8.8.8.8 pc-helpp.com
O1 - Hosts: 8.8.8.8 softdroid.net
O1 - Hosts: 8.8.8.8 malwarebytes.com
O1 - Hosts: 8.8.8.8 ru.vessoft.com
O1 - Hosts: 8.8.8.8 AlpineFile.ru
O1 - Hosts: 8.8.8.8 malwarebytes-anti-malware.ru.uptodown.com
O1 - Hosts: 8.8.8.8 ProgramDownloadFree.com
O1 - Hosts: 8.8.8.8 download.cnet.com
O1 - Hosts: 8.8.8.8 soft.mydiv.net
O1 - Hosts: 8.8.8.8 spyware-ru.com
O1 - Hosts: 8.8.8.8 remontcompa.ru
O1 - Hosts: 8.8.8.8 www.hitmanpro.com
O1 - Hosts: 8.8.8.8 hitman-pro.ru.uptodown.com
O1 - Hosts: 8.8.8.8 www.bleepingcomputer.com
O1 - Hosts: 8.8.8.8 soft.oszone.net
O1 - Hosts: 8.8.8.8 krutor.org
O1 - Hosts: 8.8.8.8 www.greatis.com
O1 - Hosts: 8.8.8.8 unhackme.ru.uptodown.com
O1 - Hosts: 8.8.8.8 programy.com.ua
O1 - Hosts: 8.8.8.8 rsload.net
O1 - Hosts: 8.8.8.8 softobase.com
O1 - Hosts: 8.8.8.8 www.besplatnoprogrammy.ru
O1 - Hosts: 8.8.8.8 unhackme.en.softonic.com
O1 - Hosts: 8.8.8.8 unhackme.com
O1 - Hosts: 8.8.8.8 unhackme.ru
O1 - Hosts: 8.8.8.8 nnm-club.name
O1 - Hosts: 8.8.8.8 vgrom.com
O1 - Hosts: 8.8.8.8 moneropool.com
O1 - Hosts: 8.8.8.8 mine.moneropool.com
O1 - Hosts: 8.8.8.8 xmr.cryptopool.org
O1 - Hosts: 8.8.8.8 pool.monero.org
O1 - Hosts: 8.8.8.8 minexmr.com
O1 - Hosts: 8.8.8.8 monero.crypto-pool.fr
O1 - Hosts: 8.8.8.8 dwarfpool.com
O1 - Hosts: 8.8.8.8 yadi.su
O1 - Hosts: 8.8.8.8 pool.minexmr.to
O1 - Hosts: 8.8.8.8 eset.com
O1 - Hosts: 8.8.8.8 mywot.com
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe (disabled)

 

Вы из Чехии? Если нет, то пофиксите еще эту строчку:

 

O17 - DHCP DNS 2: 188.75.128.85

 

Деинсталлируйте RogueKiller version 15.6.4.0.

 

Попробуйте сделать лог полного сканирования MBAM

[4kricoy]

Строки пофиксил.

Я не из Чехии, но живу тут и компьютер покупал тоже тут.

Удалил RogueKiller.

Прикрепил лог MBAM.

 

file.txt

[mike 1]

Поместите в карантин все найденное в MBAM. 

 

Далее скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены как на картинке ниже.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[4kricoy]

FRST.txt Addition.txt

[mike 1]

Запустите файл uninstall.bat по пути C:\Program Files\RDP Wrapper\

 

Скачайте и запустите AVBR , пришлите лог сформированный этой программой. 

[4kricoy]

По пути C:\Program Files\RDP Wrapper\ нету файла uninstall.bat, есть только rdpwrap.dll

[4kricoy]

AV_block_remove_2022.12.18-12.25.log

[mike 1]

Повторите логи frst.txt, addition.txt

[4kricoy]

Ещё раз FRST запустить то есть?

 

FRST.txt Addition.txt

[mike 1]

Да. Что с проблемой?

[4kricoy]

Нагрузки на ЦП в простое нет, антивирусы работают и сайты тоже. Malwarebytes говорит что все чисто. Спасибо большое за помощь. Стоит ли менять пароли?

Изменено 18 декабря, 2022 пользователем 4kricoy

[mike 1]

Лучше сменить. 

 

Папку C:\Program Files\RDP Wrapper\ удалите, если она осталась. 

 

MBAM деинсталлируйте. Установите антивирус. 

 

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

   
   

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[4kricoy]

Удалил все с DelFix, а сайт с SecurityCheck by glax24 блокирует оператор.