[РЕШЕНО] Dr.Web CureIt обнаружил угрозы dialersvc32.job dialersvc64.job

[2xCh4k]

Буквально сегодня переустановил ОС и сразу же поймал вирусы. Удалилось 4 из 6 угроз.

CollectionLog-2023.02.23-01.09.zip

Изменено 22 февраля, 2023 пользователем 2xCh4k
Добавления файлов протокола

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteSchedulerTask('dialersvc32.job');
 DeleteSchedulerTask('dialersvc64.job');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
ExecuteSysClean;
ExecuteRepair(9);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ из этой темы. Прикрепите лог после выполнения.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера):

 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task (.job): (disabled) dialersvc32.job - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
O22 - Task (.job): (disabled) dialersvc64.job - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51CEDB05-AA9D-4E32-A4B9-AA47C08022E8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51CEDB05-AA9D-4E32-A4B9-AA47C08022E8} - \dialersvc64 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92F8BA74-CA5C-420A-B6E0-3D5063D619FC} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92F8BA74-CA5C-420A-B6E0-3D5063D619FC} - \dialersvc32 (no xml)
O22 - Tasks: GoogleUpdateTaskMachineQC - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -EncodedCommand "PAAjAHIAZQAjAD4AIABTAHQAYQByAHQALQBQAHIAbwBjAGUAcwBzACAALQBGAGkAbABlAFAAYQB0AGgAIAAnAEMAOgBcAFAAcgBvAGcAcgBhAG0AIABGAGkAbABlAHMAXABHAG8AbwBnAGwAZQBcAEMAaAByAG8AbQBlAFwAdQBwAGQAYQB0AGUAcgAuAGUAeABlACcAIAAtAFYAZQByAGIAIABSAHUAbgBBAHMAIAA8ACMAcwB3AGcAYgAjAD4A"

 

Сделайте новые логи Автологгером. 
 

[2xCh4k]

Correct_wuauserv&BITS.log HiJackThis.log CollectionLog-2023.02.23-15.32.zip

[mike 1]

Это забыли пофиксить в HiJackThis:

 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51CEDB05-AA9D-4E32-A4B9-AA47C08022E8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{51CEDB05-AA9D-4E32-A4B9-AA47C08022E8} - \dialersvc64 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92F8BA74-CA5C-420A-B6E0-3D5063D619FC} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92F8BA74-CA5C-420A-B6E0-3D5063D619FC} - \dialersvc32 (no xml)

 

[2xCh4k]

Не понял что именно необходимо сделать

 

Пофиксил, логи прикрепляю.

CollectionLog-2023.02.23-15.57.zip

[mike 1]

Что с проблемой?

[2xCh4k]

Проблема решена, спасибо огромное!

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[2xCh4k]

Прикрепляю отчёт.

SecurityCheck.txt

[mike 1]

Автоматическое обновление отключено - рекомендуется включить

 

Установите антивирус. 

 

Рекомендуется обновить:

 

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011
------------------------------- [ Browser ] -------------------------------
Google Chrome v.110.0.5481.177 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

    

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

[mike 1]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".