Перейти к содержанию
Правила раздела

Trojan:Win64/RootAgent

Persisting31

Автор Persisting31
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Persisting31

Persisting31

Опубликовано
Опубликовано

Доброго. Сегодня системный антивирус оповестил о двух угрозах - "VirTool:Win64/Glupteba.A", который заразил файл C:\Windows\System32\drivers\Winmon.sys, и "Trojan:Win64/RootAgent", заразивший C:\Windows\System32\drivers\W inmonProcessMonitor.sys. Glupteba удалился без проблем, а троян антивирус распознает но сделать ничего не может. Файла Winmon в директории почему-то не наблюдается. Заранее спасибо за помощь

CollectionLog-2023.05.06-11.15.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3CE3913C-C31E-4512-99D2-F7EB396A9C4A} - System32\Tasks\WpsExternal_Persisting 31_20221113204126 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Нет файла)
Task: {89A2DEF1-EAB3-45F9-B3F0-D5418E806E67} - System32\Tasks\WpsUpdateTask_Persisting 31 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpsupdate.exe -from=task (Нет файла)
Task: {B6A12564-BDB9-48A9-B837-61F266C52517} - System32\Tasks\Opera scheduled Autoupdate 1667919720 => C:\Users\Persisting 31\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D74BA0D1-ED92-47D0-AAB4-F70FBF4CC446} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001Core => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {E86EA9E7-A199-4C61-BC09-7EFA80400501} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
Task: {EE4A7989-9192-4D2E-B0B0-B711EB5424DB} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001UA => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{E7A3150F-C890-4677-B3B9-59A424BFC116}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{04A8D5B3-A5C1-4C6F-A6EA-14DB7D044E1E}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{6796509A-28C7-449D-B9AF-F556D6A724EE}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{107177C4-5022-4D09-A8D3-60A55E173DB3}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B5BB2C17-9302-4809-86A5-9B63DBABC5C6}] => (Allow) C:\Windows\rss\csrss.exe () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
C:\Windows\rss\csrss.exe
FirewallRules: [TCP Query User{B3253B8E-BFB3-455D-B08C-6709157433B1}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{5C0F95B4-E671-481B-8576-8FB189C41CF6}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{7A443275-5220-4AE0-9CC4-898A31959BE0}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{CA093B62-559F-4239-A59D-ED22FC249AA8}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{82BE708F-15B7-43A3-995D-A7A716003668}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [UDP Query User{A22FC0F5-96BB-49F5-96F5-A33EBB2679D1}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{7BEE7F6E-0D6D-42FA-93E9-9B3FD5245AB4}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{53324620-D0AB-4412-8EC1-0A4C91ACBD35}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{05CB4072-5FFF-4BCE-BDF7-BC80007C6EE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [{5A020E35-3DBA-4412-8A84-BC5380042DE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{4C443B76-2770-436F-96CA-572CD2CE24B8}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{49402B85-DCC4-42DD-9707-2A59A6312CFB}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{695FE61F-CD1A-4F60-8068-ED7E8E612386}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{F19B09D4-725A-44F7-8869-E3E1710CF0AE}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{7E5FF2F3-C9CA-42A4-B056-44EAAAC6F015}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{C7740D5B-DE17-45D3-B17E-05E0F9097680}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{BF8ABE7E-94C8-4143-9061-A34E2CD516A7}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{91EF0AD2-F639-4DF7-B9B1-A871A00EBE92}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{3A59688C-7201-48FA-9EEC-1BE4C7EB9263}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [UDP Query User{5D85E65F-6538-4F4F-BBD4-FD04C85FEB70}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{23062F1F-1DA3-457C-9B69-098E42DC1056}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{79202D8C-1105-4FA4-B2B8-3F9004FE597A}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [TCP Query User{FF3BB045-E6D1-419A-B47A-B0FE01FEC385}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{F8A0AAC0-D826-4DF5-9365-FE49DE3469D0}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{963714CC-FE31-4D12-813C-467EA04B4008}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{1BAE8974-87EB-46AC-8B46-6107DFA7094C}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [TCP Query User{A6920BCC-3E7F-4DE9-BB4A-601D2059B293}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [UDP Query User{2206817B-D1FB-4416-B6CC-184B7C923819}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [TCP Query User{425E32F6-2A7B-408D-AC3F-B5CA28A4676E}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{56595058-5060-463D-9E80-95BE88068EF9}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{9C7507F2-E8C1-4F26-9CFA-63597A6AFEC6}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{984FB16E-144E-4045-A428-A912D40E8B5A}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{D5280673-E804-4EDC-ACA3-D12B22797244}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{8411CCBD-672B-48FE-952A-4B4E0C859447}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [TCP Query User{CCCEDB16-0ACA-4872-8225-3CD7C46B084A}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [UDP Query User{90F8907B-E1AE-40A2-9495-F87EBFF3C500}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [TCP Query User{F3C234F0-25AF-4B63-9A78-BEF02E7551E0}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [UDP Query User{2A636662-596E-4B36-87CF-315B8D41BD2C}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{F510AADC-B392-4D67-B7D0-5263C20727FD}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{1F53A0DF-477F-4129-AD4E-EC61B516A588}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [TCP Query User{8BE99A99-60A6-4E58-BD95-805A0A73D62D}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{CB07F305-F5D5-444A-BCE6-4A96A953359A}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{DFCB7C83-8610-4869-8EC2-728A4D0EAD32}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{9BDACF87-0381-4FBB-AF4B-FDFEA65D0643}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [TCP Query User{9A1F00E9-1B80-4E6D-8F28-D719850F173B}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [UDP Query User{9D3E863C-2A8D-439F-969C-ABD30B2B2D48}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{330531BF-B33E-4516-A83B-B1BEC5A08B8E}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{47FC544F-967B-4931-A84A-F19AB774EBBD}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [TCP Query User{C2AB3E14-A5C5-4102-9594-C8A9E0D4E2A5}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{BD5922B9-A5EA-40B3-9B46-B3D386ED9B72}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{112DEE81-8B7F-476E-B7DA-E05B3E9F740D}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{8A9DA63E-C53C-4CE1-9E21-B5786C50F4D1}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{A9CA495F-BB66-479F-A33F-213C13DCBF39}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{B568A74B-5ED6-4D32-B351-86671C8A6378}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{8F610F70-7F8B-412A-8C72-69A139DB2F65}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{C37754D9-6904-4D10-8F23-6C4C09AC5FF9}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{DFB52F41-CA6C-4562-9DE1-55EA64CF6CB7}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{D1E5F3D2-C9CA-4653-81C6-25E9C528FE54}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{35D37343-8A83-4848-ADC5-865922C45FDB}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{CDBA02E6-6E87-41EB-9DEB-027844DA8326}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{27F854DB-B428-402A-9AA3-6F6F8D0A8BEF}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{FF75A71B-A9E4-4961-AB5A-07E38522499E}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{A849D0B1-2A85-4441-8E83-ABE52A464E01}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{97D5E5D8-A841-497A-944F-2B53DB32AD20}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{D79B4F98-ECDE-4363-AC65-758C459F20A4}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{FB9910FF-F39C-44C9-94A1-BC07C7CEFF62}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{8B1DA982-DE2D-4332-A394-283E8ADA2602}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{87A722E4-20F3-4C3B-9ECC-CFF335FF4ED3}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [TCP Query User{4765CE24-BEC1-4FDF-BE54-1730DFDBB34A}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{F33903F9-0002-494F-A8DB-C3A4A7D52ADF}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CAE43CD0-1491-4025-8D94-0E30415E8B29}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CF8DA72D-2536-47BB-9571-61682A5F28BB}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{71A4621E-3CFB-462F-99E9-7C2AA80E9A15}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{A37A80CA-28BA-49E5-A781-18D847886863}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{F53560AF-F417-444B-A37D-31DDB7153500}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{72CD23AE-D230-4F39-A79C-F215B473A1FE}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{1F2B705B-FD12-4927-971E-A51CCEFAE9BC}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [UDP Query User{FE3FAB8A-B2C5-43C4-BBF1-614569AF6188}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{C6FE7614-F393-4E37-8701-013623F38606}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{46D43F18-F927-4DDF-8AE9-FBA4EFB373F3}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [TCP Query User{349895A4-C945-47B0-9611-96D4AB61A966}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C171CA29-F01C-43A2-B8F6-D694D92BCBD7}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{19A4C2B1-E460-48D2-8731-3AE926B7E259}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{270771F0-4552-41D5-B46E-41D740AE6BB3}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{A3488D84-E5B6-4280-9CED-9FE97675602F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{EC163BF6-E310-4540-9B71-F43A218FDC64}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{5D468290-4D89-45B0-A3A8-D413D14FF743}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{CB7E47CA-884E-42C5-8FC4-E32F1135B938}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Persisting31

Persisting31

Опубликовано
  • Автор
Опубликовано

Не поменялось ничего, все также определяется Winдефендером, но сделать он с ним ничего не может

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Persisting31

Persisting31

Опубликовано
  • Автор
Опубликовано

Fixlog.txtАнтивирус теперь говорит что все чисто, Fixlog прикрепил. Будет какая-либо доп. проверка что вирусов нету или на этом уже заканчиваем?

 

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

 

  • Выделите следующий код: 
    Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Persisting 31\AppData\Local\Temp\csrss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Этот скрипт вы запускали несколько раз, достаточно было одного.

 

Хорошо, если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Persisting31

Persisting31

Опубликовано
  • Автор
Опубликовано

SecurityCheck.txtВот
По поводу нескольких запусков - сначала почему-то скопировалось без этих двоеточий после Start, Reboot и End, видимо из-за этого скрипт не запускался, и прошло несколько попыток пока я не скопировал скрипт заново

Sandor

Sandor

Опубликовано
Опубликовано

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.36.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Node.js v.18.1.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.19.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.6 v.4.3.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 92.0.4561.43 v.92.0.4561.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 77.0.4054.298 v.77.0.4054.298 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 96.0.4693.104 v.96.0.4693.104 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LenS
      [РЕШЕНО] Исправить MEM:Trojan.Multi.Agent.gen
      Автор LenS
      Не поняла, когда проскочил вирус. Возможно, во время загрузки аудио через торент. Каждые две минуты попытки выйти в какие-то "опасные сайты". Антивирус жалуется, что вирусов вообще несколько, но проверка с помощью Kaspersky Virus Removal Tool выявила только одну проблему. Скрины сообщений от антивируса и логи прикрепляю. Помогите, пожалуйста. Коппьютер нужен для работы, не хочется переустанавливать винду



      CollectionLog-2026.02.06-18.15.zip отчет_касперский.txt
    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • verty
      Нужна помощь с вирусом BiopassRAT
      Автор verty
      Помогите решить проблему с вирусом, все началось  с того что мне какие то стримеры скинули вирус я так понимаю его название BiopassRAT, может другой вирус , без понятия, но видеть меня могли почти все стримеры в программах для стримингов, обс студио и т.д, менял устройства с симкартами и аккаунтами, ничего не помогало, все ровно как то накидывали его, не подключался к зараженным роутеру, по скольку у меня его нету, вообще без понятия как, но прослушиваюсь 24/7 
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

×
×
  • Создать...