Перейти к содержанию

[РЕШЕНО] Словил вирусы: PuzzleMedia, Mysql


Рекомендуемые сообщения

Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
 

CollectionLog-2023.01.29-17.48.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Юзер\AppData\Roaming\python.exe','32');
 DeleteSchedulerTask('python.job');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('python');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите ее лог.

 

Деинсталлируйте 360 Total Security, запустив файл C:\Users\Юзер\AppData\Local\Temp\d7eb0e17ef8a6e3eb28e6e76bb57945f_remove360.bat от имени Администратора

 

Сделайте новые логи Автологгером. 
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

При запуске скрипта выскакивает данное сообщение

image.png

Оказалось, что не тот avz открыл, с другим сработало 

 

Отправляю лог AVBR:

AV_block_remove_2023.01.29-19.14.log

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте RogueKiller version 15.8.0.0

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

       
    CreateRestorePoint:
    CloseProcesses:
    Task: {0B8F9FA9-39D7-41B9-9B24-079C1EFBFD14} - \AMDRyzenMasterSDKTask -> Нет файла <==== ВНИМАНИЕ
    Task: {32CAF9DD-B7DC-4D26-B2D7-2ECF416F56A0} - \StartCN -> Нет файла <==== ВНИМАНИЕ
    Task: {4C064FE2-B968-4DA0-BE1C-C612A296D969} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
    2023-01-29 15:28 - 2023-01-29 15:28 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
    2023-01-29 14:36 - 2023-01-29 15:06 - 000000000 ____D C:\ProgramData\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\Program Files\RogueKiller
    2023-01-29 13:07 - 2023-01-29 16:52 - 000000000 __SHD C:\$360Section
    2023-01-29 13:06 - 2023-01-29 16:29 - 000000000 ____D C:\Users\Юзер\AppData\Roaming\360DesktopLite
    2023-01-29 19:17 - 2022-09-17 14:39 - 000000000 ____D C:\Program Files\RDP Wrapper
    FirewallRules: [UDP Query User{ADD14809-8F9B-48F9-8725-A4ECF28B7A4E}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{4C0CCB96-5C81-460E-9CF2-FDDBCCF8A6EB}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [UDP Query User{BFA41FBB-3B11-4B56-83F6-4EF9FDD6C2DC}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{A6CBD118-9CE9-4E12-8D4B-DBFA29622D2B}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [{CDCA4C0D-02C7-4A02-BFF0-0BA2752D8D01}] => (Allow) C:\Users\Юзер\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
    FirewallRules: [TCP Query User{A3382D7B-DFA2-4707-91C5-D386E2839638}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{10986389-A4B9-40BE-9810-2071ABF8F6D9}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{B20D86B2-297F-4FD0-9855-95B4749FAF31}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{8BD20540-76D1-41DD-8562-1AD4F503AA13}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{D0CCFC4C-BA2C-46CA-AE4C-01F421C14BCA}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{6B811DBA-13C1-4048-BE24-DF5693B5610F}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [{4ED1037E-D4A8-405F-B229-EAED8B0539CC}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{BDF345CD-FE11-446C-B25B-30CC0559CA96}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения за долгий ответ, был в уезде и доступа к аппарату не было, сделал по инструкции.

SecurityCheck.txt DelFix.txt

Изменено пользователем Kamo. A.
Ссылка на сообщение
Поделиться на другие сайты

Обновите:

 

AMD Software v.21.10.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
    • CzarOfScripts
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
×
×
  • Создать...