Перейти к содержанию

[РЕШЕНО] Словил вирусы: PuzzleMedia, Mysql


Рекомендуемые сообщения

Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
 

CollectionLog-2023.01.29-17.48.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Юзер\AppData\Roaming\python.exe','32');
 DeleteSchedulerTask('python.job');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('python');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите ее лог.

 

Деинсталлируйте 360 Total Security, запустив файл C:\Users\Юзер\AppData\Local\Temp\d7eb0e17ef8a6e3eb28e6e76bb57945f_remove360.bat от имени Администратора

 

Сделайте новые логи Автологгером. 
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

При запуске скрипта выскакивает данное сообщение

image.png

Оказалось, что не тот avz открыл, с другим сработало 

 

Отправляю лог AVBR:

AV_block_remove_2023.01.29-19.14.log

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте RogueKiller version 15.8.0.0

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

       
    CreateRestorePoint:
    CloseProcesses:
    Task: {0B8F9FA9-39D7-41B9-9B24-079C1EFBFD14} - \AMDRyzenMasterSDKTask -> Нет файла <==== ВНИМАНИЕ
    Task: {32CAF9DD-B7DC-4D26-B2D7-2ECF416F56A0} - \StartCN -> Нет файла <==== ВНИМАНИЕ
    Task: {4C064FE2-B968-4DA0-BE1C-C612A296D969} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
    2023-01-29 15:28 - 2023-01-29 15:28 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
    2023-01-29 14:36 - 2023-01-29 15:06 - 000000000 ____D C:\ProgramData\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\Program Files\RogueKiller
    2023-01-29 13:07 - 2023-01-29 16:52 - 000000000 __SHD C:\$360Section
    2023-01-29 13:06 - 2023-01-29 16:29 - 000000000 ____D C:\Users\Юзер\AppData\Roaming\360DesktopLite
    2023-01-29 19:17 - 2022-09-17 14:39 - 000000000 ____D C:\Program Files\RDP Wrapper
    FirewallRules: [UDP Query User{ADD14809-8F9B-48F9-8725-A4ECF28B7A4E}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{4C0CCB96-5C81-460E-9CF2-FDDBCCF8A6EB}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [UDP Query User{BFA41FBB-3B11-4B56-83F6-4EF9FDD6C2DC}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{A6CBD118-9CE9-4E12-8D4B-DBFA29622D2B}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [{CDCA4C0D-02C7-4A02-BFF0-0BA2752D8D01}] => (Allow) C:\Users\Юзер\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
    FirewallRules: [TCP Query User{A3382D7B-DFA2-4707-91C5-D386E2839638}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{10986389-A4B9-40BE-9810-2071ABF8F6D9}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{B20D86B2-297F-4FD0-9855-95B4749FAF31}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{8BD20540-76D1-41DD-8562-1AD4F503AA13}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{D0CCFC4C-BA2C-46CA-AE4C-01F421C14BCA}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{6B811DBA-13C1-4048-BE24-DF5693B5610F}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [{4ED1037E-D4A8-405F-B229-EAED8B0539CC}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{BDF345CD-FE11-446C-B25B-30CC0559CA96}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

На сайт DropBox вход свободный, сейчас запустил полное сканирование, ожидаю результаты

 

Большое спасибо! Очень помогли!

image.png

Ссылка на сообщение
Поделиться на другие сайты

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения за долгий ответ, был в уезде и доступа к аппарату не было, сделал по инструкции.

SecurityCheck.txt DelFix.txt

Изменено пользователем Kamo. A.
Ссылка на сообщение
Поделиться на другие сайты

Обновите:

 

AMD Software v.21.10.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Egor4ik
      От Egor4ik
      Возможно словил майнер. В играх максимум 70-80 фпс, а было 300-400.
      CollectionLog-2023.03.26-04.46.zip
    • nick16000
      От nick16000
      Пожалуйста, дайте инструкцию к действиям. Все форумы и сайты с компьютера не открываются, пишу с телефона. KVRT не запускается.
    • Fronten
      От Fronten
      Добрый день.
      Увидел в диспетчере задач 3 процесса AMD.exe, которые использовали 10 гб ОЗУ, не открывались некоторые сайты и так далее.

      Запустил автологгер по инструкции в безопасном режиме, он, судя по всему, майнер удалил, AMD.exe уже в диспетчере не видно, но хотелось бы быть уверенным, что проблема точно решена. Вот все нужные логи.  
      AV_block_remove_2023.03.16-17.01.log FRST.zip
    • notyler
      От notyler
      Приветствую, уважаемая команда сайта и хелперы (вообще удивился и рад, что подобные форумы существуют и процветают)
      Проблема типичная, после установки игры установились майнеры и трояны. Пробовал сам решить проблему через несколько итераций с Rescue Disk и Dr. Web LiveDisk, FRST64 (исправлял через fixlist установки, которые были произвел вирус 10.03.2023 в 00:31). Также, сканировал программами Zenma, HitmanPro, RogueKiller, Malwarebytes - некоторые из них находили все зараженные файлы, но после перезагрузки удаления не происходит и всё возвращается. Проверку делал и утилитами из руководства, но они увидели только неактивный программу для майнинга, которую я давно и из проверенных источников устанавливал сам.
      Прикрепляю логи CollectionLog-2023.03.12-15.02.zip и надеюсь на Вашу помощь! Спасибо заранее!
       
    • efchik1
      От efchik1
      Здравствуйте! Качал программу для восстановления фото, по всей видимости подцепил вирус, не могу определить название файл и ни один антивирус не находит ошибок, доктор веб, касперский, есет
      Также устанавливал все антивирусы и программы для чистки (рег органайзер и ссleaner) через внешний носитель, так как через браузер просто не даёт зайти на сайт
      Ноутбук постоянно греется
      Пробовал откатиться на точки восстановления, выдаёт ошибку 
      Также, начались просадки в доте по фпс и зависает программа для написания музыки 
      В диспетчере задач ЦП поднимается до 100 при всех закрытых приложениях 
       
      CollectionLog-2023.03.10-00.54.zip
×
×
  • Создать...