Перейти к содержанию

[РЕШЕНО] Словил вирусы: PuzzleMedia, Mysql


Рекомендуемые сообщения

Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
 

CollectionLog-2023.01.29-17.48.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Юзер\AppData\Roaming\python.exe','32');
 DeleteSchedulerTask('python.job');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('python');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите ее лог.

 

Деинсталлируйте 360 Total Security, запустив файл C:\Users\Юзер\AppData\Local\Temp\d7eb0e17ef8a6e3eb28e6e76bb57945f_remove360.bat от имени Администратора

 

Сделайте новые логи Автологгером. 
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

При запуске скрипта выскакивает данное сообщение

image.png

Оказалось, что не тот avz открыл, с другим сработало 

 

Отправляю лог AVBR:

AV_block_remove_2023.01.29-19.14.log

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте RogueKiller version 15.8.0.0

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

       
    CreateRestorePoint:
    CloseProcesses:
    Task: {0B8F9FA9-39D7-41B9-9B24-079C1EFBFD14} - \AMDRyzenMasterSDKTask -> Нет файла <==== ВНИМАНИЕ
    Task: {32CAF9DD-B7DC-4D26-B2D7-2ECF416F56A0} - \StartCN -> Нет файла <==== ВНИМАНИЕ
    Task: {4C064FE2-B968-4DA0-BE1C-C612A296D969} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
    2023-01-29 15:28 - 2023-01-29 15:28 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
    2023-01-29 14:36 - 2023-01-29 15:06 - 000000000 ____D C:\ProgramData\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
    2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\Program Files\RogueKiller
    2023-01-29 13:07 - 2023-01-29 16:52 - 000000000 __SHD C:\$360Section
    2023-01-29 13:06 - 2023-01-29 16:29 - 000000000 ____D C:\Users\Юзер\AppData\Roaming\360DesktopLite
    2023-01-29 19:17 - 2022-09-17 14:39 - 000000000 ____D C:\Program Files\RDP Wrapper
    FirewallRules: [UDP Query User{ADD14809-8F9B-48F9-8725-A4ECF28B7A4E}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{4C0CCB96-5C81-460E-9CF2-FDDBCCF8A6EB}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [UDP Query User{BFA41FBB-3B11-4B56-83F6-4EF9FDD6C2DC}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [TCP Query User{A6CBD118-9CE9-4E12-8D4B-DBFA29622D2B}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
    FirewallRules: [{CDCA4C0D-02C7-4A02-BFF0-0BA2752D8D01}] => (Allow) C:\Users\Юзер\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
    FirewallRules: [TCP Query User{A3382D7B-DFA2-4707-91C5-D386E2839638}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{10986389-A4B9-40BE-9810-2071ABF8F6D9}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{B20D86B2-297F-4FD0-9855-95B4749FAF31}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [UDP Query User{8BD20540-76D1-41DD-8562-1AD4F503AA13}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
    FirewallRules: [TCP Query User{D0CCFC4C-BA2C-46CA-AE4C-01F421C14BCA}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{6B811DBA-13C1-4048-BE24-DF5693B5610F}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
    FirewallRules: [{4ED1037E-D4A8-405F-B229-EAED8B0539CC}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{BDF345CD-FE11-446C-B25B-30CC0559CA96}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения за долгий ответ, был в уезде и доступа к аппарату не было, сделал по инструкции.

SecurityCheck.txt DelFix.txt

Изменено пользователем Kamo. A.
Ссылка на сообщение
Поделиться на другие сайты

Обновите:

 

AMD Software v.21.10.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • Makarov_312
      От Makarov_312
      Здравствуйте, по невнимательности поймал целый пак вирусов один из которых, как мне удолось обнаружить - Майнер Джон + к нему 4 трояна и 60+ каких-то других непонятных вирусов. Естественно вирусы закрывали диспетчер, не давали зайти на сайты с инфой о том, как удалить тот или иной вирус и на сайты с антивирусами. В безопасном режиме удалось запустить dr.web, который мне скинул друг на почту, он отчистил порядка 72 файлов, которые несли угрозу, тут я подумал, что всё - конец, изи Но через 1 час пользования компьютером у меня высветилось окно "Джон хочет получить удаленный доступ к вашему компьютеру да/нет", я нажал нет, после чего начал чистать компьютер всем, чем только можно, в ход шли и аваст(с трудом установленный кстати), нашел одну угрозу и малавар(который вирус не давал установить вообще ни в какую, так и не установил) и прочие антивирусы, но всё в пустую, майнер никак не уходит. По советам гениев с ютуба так же вводил какие-то команды в консоль, после чего кстати интернет начал ужасно лагать, скорость загрузки понизилась в плоть до 5мб/сек. А так же что-то пытался сделать через frst64, но ничего не получилось. Так же чистил майн сёрчем, он кстати нашел прилично так угроз, почистил их, думал я, но после перезагрузки компьютера интернет всё так же лагал, сайты всё так же блокались, а я всё так же тильтовал. Тут я решился всё-таки прибегнуть к верному методу - снести винду и поставить новую, но не тут то было, создав загрузочную флешку, я начал клацать на делит в надежде на открытие биоса, но он не открылся, и тут я начал грешить уже на материнскую плату, пробовал скидывать ее к дефолт настройками, поочередно вытаскивать диски, но ничего не помогало. Ну и в полнейшем отчаянии я решил обратиться сюда. Памагити
      Addition.txt FRST.txt AV_block_remove_2024.03.18-18.48.log
    • AndrusBelarus
      От AndrusBelarus
      Доброй ночи! Подхватил какую-то фигню:
       - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:
       
      Trojan:Win64/Glupteba!MTB
      Trojan:Win32/Acll
       
      P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"
       
      UPD. 
      Вскакивают периодически такие процессы как: 
      QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 
      AppMarket / GameLoop (синий круг на иконке)
      - аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника
       
      UPD2.
       
      Какой-то процесс *китайские символы*32 бита
×
×
  • Создать...