Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

Trojan:Win64/RootAgent

Persisting31

Автор Persisting31,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Persisting31

Persisting31 0

Опубликовано
Опубликовано

Доброго. Сегодня системный антивирус оповестил о двух угрозах - "VirTool:Win64/Glupteba.A", который заразил файл C:\Windows\System32\drivers\Winmon.sys, и "Trojan:Win64/RootAgent", заразивший C:\Windows\System32\drivers\W inmonProcessMonitor.sys. Glupteba удалился без проблем, а троян антивирус распознает но сделать ничего не может. Файла Winmon в директории почему-то не наблюдается. Заранее спасибо за помощь

CollectionLog-2023.05.06-11.15.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 377

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 377

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3CE3913C-C31E-4512-99D2-F7EB396A9C4A} - System32\Tasks\WpsExternal_Persisting 31_20221113204126 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Нет файла)
Task: {89A2DEF1-EAB3-45F9-B3F0-D5418E806E67} - System32\Tasks\WpsUpdateTask_Persisting 31 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpsupdate.exe -from=task (Нет файла)
Task: {B6A12564-BDB9-48A9-B837-61F266C52517} - System32\Tasks\Opera scheduled Autoupdate 1667919720 => C:\Users\Persisting 31\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D74BA0D1-ED92-47D0-AAB4-F70FBF4CC446} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001Core => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {E86EA9E7-A199-4C61-BC09-7EFA80400501} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
Task: {EE4A7989-9192-4D2E-B0B0-B711EB5424DB} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001UA => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{E7A3150F-C890-4677-B3B9-59A424BFC116}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{04A8D5B3-A5C1-4C6F-A6EA-14DB7D044E1E}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{6796509A-28C7-449D-B9AF-F556D6A724EE}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{107177C4-5022-4D09-A8D3-60A55E173DB3}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B5BB2C17-9302-4809-86A5-9B63DBABC5C6}] => (Allow) C:\Windows\rss\csrss.exe () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
C:\Windows\rss\csrss.exe
FirewallRules: [TCP Query User{B3253B8E-BFB3-455D-B08C-6709157433B1}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{5C0F95B4-E671-481B-8576-8FB189C41CF6}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{7A443275-5220-4AE0-9CC4-898A31959BE0}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{CA093B62-559F-4239-A59D-ED22FC249AA8}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{82BE708F-15B7-43A3-995D-A7A716003668}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [UDP Query User{A22FC0F5-96BB-49F5-96F5-A33EBB2679D1}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{7BEE7F6E-0D6D-42FA-93E9-9B3FD5245AB4}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{53324620-D0AB-4412-8EC1-0A4C91ACBD35}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{05CB4072-5FFF-4BCE-BDF7-BC80007C6EE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [{5A020E35-3DBA-4412-8A84-BC5380042DE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{4C443B76-2770-436F-96CA-572CD2CE24B8}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{49402B85-DCC4-42DD-9707-2A59A6312CFB}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{695FE61F-CD1A-4F60-8068-ED7E8E612386}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{F19B09D4-725A-44F7-8869-E3E1710CF0AE}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{7E5FF2F3-C9CA-42A4-B056-44EAAAC6F015}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{C7740D5B-DE17-45D3-B17E-05E0F9097680}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{BF8ABE7E-94C8-4143-9061-A34E2CD516A7}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{91EF0AD2-F639-4DF7-B9B1-A871A00EBE92}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{3A59688C-7201-48FA-9EEC-1BE4C7EB9263}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [UDP Query User{5D85E65F-6538-4F4F-BBD4-FD04C85FEB70}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{23062F1F-1DA3-457C-9B69-098E42DC1056}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{79202D8C-1105-4FA4-B2B8-3F9004FE597A}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [TCP Query User{FF3BB045-E6D1-419A-B47A-B0FE01FEC385}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{F8A0AAC0-D826-4DF5-9365-FE49DE3469D0}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{963714CC-FE31-4D12-813C-467EA04B4008}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{1BAE8974-87EB-46AC-8B46-6107DFA7094C}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [TCP Query User{A6920BCC-3E7F-4DE9-BB4A-601D2059B293}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [UDP Query User{2206817B-D1FB-4416-B6CC-184B7C923819}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [TCP Query User{425E32F6-2A7B-408D-AC3F-B5CA28A4676E}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{56595058-5060-463D-9E80-95BE88068EF9}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{9C7507F2-E8C1-4F26-9CFA-63597A6AFEC6}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{984FB16E-144E-4045-A428-A912D40E8B5A}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{D5280673-E804-4EDC-ACA3-D12B22797244}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{8411CCBD-672B-48FE-952A-4B4E0C859447}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [TCP Query User{CCCEDB16-0ACA-4872-8225-3CD7C46B084A}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [UDP Query User{90F8907B-E1AE-40A2-9495-F87EBFF3C500}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [TCP Query User{F3C234F0-25AF-4B63-9A78-BEF02E7551E0}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [UDP Query User{2A636662-596E-4B36-87CF-315B8D41BD2C}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{F510AADC-B392-4D67-B7D0-5263C20727FD}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{1F53A0DF-477F-4129-AD4E-EC61B516A588}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [TCP Query User{8BE99A99-60A6-4E58-BD95-805A0A73D62D}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{CB07F305-F5D5-444A-BCE6-4A96A953359A}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{DFCB7C83-8610-4869-8EC2-728A4D0EAD32}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{9BDACF87-0381-4FBB-AF4B-FDFEA65D0643}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [TCP Query User{9A1F00E9-1B80-4E6D-8F28-D719850F173B}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [UDP Query User{9D3E863C-2A8D-439F-969C-ABD30B2B2D48}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{330531BF-B33E-4516-A83B-B1BEC5A08B8E}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{47FC544F-967B-4931-A84A-F19AB774EBBD}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [TCP Query User{C2AB3E14-A5C5-4102-9594-C8A9E0D4E2A5}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{BD5922B9-A5EA-40B3-9B46-B3D386ED9B72}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{112DEE81-8B7F-476E-B7DA-E05B3E9F740D}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{8A9DA63E-C53C-4CE1-9E21-B5786C50F4D1}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{A9CA495F-BB66-479F-A33F-213C13DCBF39}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{B568A74B-5ED6-4D32-B351-86671C8A6378}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{8F610F70-7F8B-412A-8C72-69A139DB2F65}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{C37754D9-6904-4D10-8F23-6C4C09AC5FF9}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{DFB52F41-CA6C-4562-9DE1-55EA64CF6CB7}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{D1E5F3D2-C9CA-4653-81C6-25E9C528FE54}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{35D37343-8A83-4848-ADC5-865922C45FDB}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{CDBA02E6-6E87-41EB-9DEB-027844DA8326}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{27F854DB-B428-402A-9AA3-6F6F8D0A8BEF}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{FF75A71B-A9E4-4961-AB5A-07E38522499E}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{A849D0B1-2A85-4441-8E83-ABE52A464E01}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{97D5E5D8-A841-497A-944F-2B53DB32AD20}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{D79B4F98-ECDE-4363-AC65-758C459F20A4}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{FB9910FF-F39C-44C9-94A1-BC07C7CEFF62}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{8B1DA982-DE2D-4332-A394-283E8ADA2602}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{87A722E4-20F3-4C3B-9ECC-CFF335FF4ED3}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [TCP Query User{4765CE24-BEC1-4FDF-BE54-1730DFDBB34A}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{F33903F9-0002-494F-A8DB-C3A4A7D52ADF}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CAE43CD0-1491-4025-8D94-0E30415E8B29}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CF8DA72D-2536-47BB-9571-61682A5F28BB}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{71A4621E-3CFB-462F-99E9-7C2AA80E9A15}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{A37A80CA-28BA-49E5-A781-18D847886863}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{F53560AF-F417-444B-A37D-31DDB7153500}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{72CD23AE-D230-4F39-A79C-F215B473A1FE}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{1F2B705B-FD12-4927-971E-A51CCEFAE9BC}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [UDP Query User{FE3FAB8A-B2C5-43C4-BBF1-614569AF6188}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{C6FE7614-F393-4E37-8701-013623F38606}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{46D43F18-F927-4DDF-8AE9-FBA4EFB373F3}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [TCP Query User{349895A4-C945-47B0-9611-96D4AB61A966}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C171CA29-F01C-43A2-B8F6-D694D92BCBD7}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{19A4C2B1-E460-48D2-8731-3AE926B7E259}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{270771F0-4552-41D5-B46E-41D740AE6BB3}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{A3488D84-E5B6-4280-9CED-9FE97675602F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{EC163BF6-E310-4540-9B71-F43A218FDC64}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{5D468290-4D89-45B0-A3A8-D413D14FF743}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{CB7E47CA-884E-42C5-8FC4-E32F1135B938}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Не поменялось ничего, все также определяется Winдефендером, но сделать он с ним ничего не может

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Fixlog.txtАнтивирус теперь говорит что все чисто, Fixlog прикрепил. Будет какая-либо доп. проверка что вирусов нету или на этом уже заканчиваем?

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

 

  • Выделите следующий код: 
    Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Persisting 31\AppData\Local\Temp\csrss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

Этот скрипт вы запускали несколько раз, достаточно было одного.

 

Хорошо, если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

SecurityCheck.txtВот
По поводу нескольких запусков - сначала почему-то скопировалось без этих двоеточий после Start, Reboot и End, видимо из-за этого скрипт не запускался, и прошло несколько попыток пока я не скопировал скрипт заново

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 167

Опубликовано
Опубликовано

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.36.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Node.js v.18.1.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.19.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.6 v.4.3.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 92.0.4561.43 v.92.0.4561.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 77.0.4054.298 v.77.0.4054.298 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 96.0.4693.104 v.96.0.4693.104 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Тимон
      trojan-multi-genautorunreg-a помогите
      От Тимон
      Здравствуйте! Не могли бы вы мне подсказать по логам моей проверки что из этого является вирусами. скачали с другом один и тот же файл и его Windows defender заблокировал из-за Trojan:Win32/occamy.aa, в то время как мой касперский ничего такого не видит. По большей части гугл и торрент, но есть и другие непонятные мне файлы в логах, на которые ругается malwarebytes
      1.txt

       
      Сообщение от модератора kmscom Тема перенесена из trojan-multi-genautorunreg-a помогите  
    • Kawka
      [РЕШЕНО] trojan-multi-genautorunreg-a помогите
      От Kawka
      Доброго времени суток, уже длительное время борюсь со скрытой угрозой trojan-multi-genautorunreg-a. Пользуюсь Касперским, все начиналось с того, что нужно было скачивать файлы с общего архива для учебы и нежданный гость залез в компьютер поразив  Microsoft EDGE и создавал в Extensions браузера свои копии. Мне пришлось на месяца два удалить EDGE применяя разные утилиты и вроде решив проблему, с чисто душой недавно решила скачать EDGE обратно с офф. сайта и проблема началась на 3-й день. Возможно вирус сохранился в реестр и заморозился в то время до определенного момента. Сейчас вновь поразил EDGE, GOOGLE и системную память. Касперский жалуется и вроде как удалил, приостановил, но жалобы опять появляются, из системной памяти не удаляет.   Вот логи, сканирования, надеюсь вы поможете, заранее спасибо!!  ( KVRT - показывает, что всё чисто, но каперский говорит об обратном ) 
      CollectionLog-2023.05.21-22.55.zip report.txt
    • snosov
      Проблема с Trojan.Win32.Miner.bcnmz/bcnnb + not-a-virus:RiskTool.Win32.BitCoinMiner.oomz + not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
      От snosov
      Приветствую,
      Обратил внимание, что у меня при заходе в Windows у меня мелькает окно cmd.exe, сразу попытался зайти на сайт антивирусного ПО и браузер "сам" закрылся.
      Скачал через телефон Kaspersky Virus Removal Tool и перебросил на ПК, но при попытке запустить файл окно проводника "само" закрывалось, переимоновал файл и он запустился, но в процессе "расстановки галочек" он так же "сам" закрылся.
      Скачал через телефон DrWeb CureIt!, он запустился без проблем и нашёл всякое, и полечил, но после перезагрузки всё вернулось.
      Скачал через телефон Kaspersky Rescue Disk, сформировал загрузочную USB. Было найдено то же самое, тоже было полечено, но так же не смогло помочь и после загрузки ситуация не поменялась.
      В приложении выгрузка AutoLogger-а и скрины KRD, но есть момент - AutoLogger пытался открыть Google Chrome, а я его удалил сразу как понял про заразу - там явки/пароли/карты.


      CollectionLog-2023.05.14-13.34.zip
    • andrew_t
      Помогите пожалуйста удалить вирус Trojan:Script/Wacatac.B!ml
      От andrew_t
      Добрый день,
       
      Примерно неделю назад мне отправили по корпоративной почте файл PDF (официальный документ). Я его скачал и открыл, после этого система обнаружила вирус Trojan:Script/Wacatac.B!ml (скриншот 1). После попробовали чистить систему Kaspersky Virus Removal Tool, он ничего не обнаружил. Стандартная утилита Windows поместила вирус в карантин, после "удалила".
       
      По итогу ноутбук не уходит в спящий режим с открытой крышкой, если закрыть крышку, через какое-то время появляется меню безопасного режима (без моего участия) при включении (скриншот 2). Сегодня, наблюдал как самостоятельно запускаются программы с рабочего стола в рандомном порядке. Помогите пожалуйста разобраться в ситуации.
       
      Результаты сканирования на сегодняшний день (скриншот 3).
      Логи во вложении.
       
      Заранее спасибо!



      CollectionLog-2023.05.13-17.49.zip
    • xorex
      Trojan:Win32/Wacatac.B!ml
      От xorex
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать?
×
×
  • Создать...