[РЕШЕНО] Словил вирусы: PuzzleMedia, Mysql

[Kamo. A.]

Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
 

CollectionLog-2023.01.29-17.48.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Юзер\AppData\Roaming\python.exe','32');
 DeleteSchedulerTask('python.job');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('python');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите ее лог.

 

Деинсталлируйте 360 Total Security, запустив файл C:\Users\Юзер\AppData\Local\Temp\d7eb0e17ef8a6e3eb28e6e76bb57945f_remove360.bat от имени Администратора

 

Сделайте новые логи Автологгером. 
 

[Kamo. A.]

При запуске скрипта выскакивает данное сообщение

Оказалось, что не тот avz открыл, с другим сработало 

 

Отправляю лог AVBR:

AV_block_remove_2023.01.29-19.14.log

[mike 1]

1 час назад, mike 1 сказал:

Сделайте новые логи Автологгером. 

Ожидаю.

[Kamo. A.]

Прошу прощения за ожидание, не заметил изначально, отправляю

CollectionLog-2023.01.29-20.31.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Kamo. A.]

Addition.txt FRST.txt

[mike 1]

Деинсталлируйте RogueKiller version 15.8.0.0. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
      

   CreateRestorePoint:
   CloseProcesses:
   Task: {0B8F9FA9-39D7-41B9-9B24-079C1EFBFD14} - \AMDRyzenMasterSDKTask -> Нет файла <==== ВНИМАНИЕ
   Task: {32CAF9DD-B7DC-4D26-B2D7-2ECF416F56A0} - \StartCN -> Нет файла <==== ВНИМАНИЕ
   Task: {4C064FE2-B968-4DA0-BE1C-C612A296D969} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
   2023-01-29 15:28 - 2023-01-29 15:28 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
   2023-01-29 14:36 - 2023-01-29 15:06 - 000000000 ____D C:\ProgramData\RogueKiller
   2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
   2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\Program Files\RogueKiller
   2023-01-29 13:07 - 2023-01-29 16:52 - 000000000 __SHD C:\$360Section
   2023-01-29 13:06 - 2023-01-29 16:29 - 000000000 ____D C:\Users\Юзер\AppData\Roaming\360DesktopLite
   2023-01-29 19:17 - 2022-09-17 14:39 - 000000000 ____D C:\Program Files\RDP Wrapper
   FirewallRules: [UDP Query User{ADD14809-8F9B-48F9-8725-A4ECF28B7A4E}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
   FirewallRules: [TCP Query User{4C0CCB96-5C81-460E-9CF2-FDDBCCF8A6EB}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
   FirewallRules: [UDP Query User{BFA41FBB-3B11-4B56-83F6-4EF9FDD6C2DC}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
   FirewallRules: [TCP Query User{A6CBD118-9CE9-4E12-8D4B-DBFA29622D2B}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
   FirewallRules: [{CDCA4C0D-02C7-4A02-BFF0-0BA2752D8D01}] => (Allow) C:\Users\Юзер\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
   FirewallRules: [TCP Query User{A3382D7B-DFA2-4707-91C5-D386E2839638}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
   FirewallRules: [UDP Query User{10986389-A4B9-40BE-9810-2071ABF8F6D9}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
   FirewallRules: [TCP Query User{B20D86B2-297F-4FD0-9855-95B4749FAF31}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
   FirewallRules: [UDP Query User{8BD20540-76D1-41DD-8562-1AD4F503AA13}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
   FirewallRules: [TCP Query User{D0CCFC4C-BA2C-46CA-AE4C-01F421C14BCA}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
   FirewallRules: [UDP Query User{6B811DBA-13C1-4048-BE24-DF5693B5610F}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
   FirewallRules: [{4ED1037E-D4A8-405F-B229-EAED8B0539CC}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла
   FirewallRules: [{BDF345CD-FE11-446C-B25B-30CC0559CA96}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла

   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[Kamo. A.]

Fixlog.txt

[mike 1]

Что с проблемой?

[Kamo. A.]

На сайт DropBox вход свободный, сейчас запустил полное сканирование, ожидаю результаты

 

Большое спасибо! Очень помогли!

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

    

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда  и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Kamo. A.]

Прошу прощения за долгий ответ, был в уезде и доступа к аппарату не было, сделал по инструкции.

SecurityCheck.txt DelFix.txt

Изменено 2 февраля, 2023 пользователем Kamo. A.

[mike 1]

Обновите:

 

AMD Software v.21.10.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
 

На этом все. 

[Kamo. A.]

Спасибо еще раз за помощь! Очень выручили!