Перейти к содержанию
Правила раздела
Встреча клуба на Новогодней ярмарке

Trojan:Win64/RootAgent

Persisting31

Автор Persisting31,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Persisting31

Persisting31 0

Опубликовано
Опубликовано

Доброго. Сегодня системный антивирус оповестил о двух угрозах - "VirTool:Win64/Glupteba.A", который заразил файл C:\Windows\System32\drivers\Winmon.sys, и "Trojan:Win64/RootAgent", заразивший C:\Windows\System32\drivers\W inmonProcessMonitor.sys. Glupteba удалился без проблем, а троян антивирус распознает но сделать ничего не может. Файла Winmon в директории почему-то не наблюдается. Заранее спасибо за помощь

CollectionLog-2023.05.06-11.15.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 447

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 447

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3CE3913C-C31E-4512-99D2-F7EB396A9C4A} - System32\Tasks\WpsExternal_Persisting 31_20221113204126 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Нет файла)
Task: {89A2DEF1-EAB3-45F9-B3F0-D5418E806E67} - System32\Tasks\WpsUpdateTask_Persisting 31 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpsupdate.exe -from=task (Нет файла)
Task: {B6A12564-BDB9-48A9-B837-61F266C52517} - System32\Tasks\Opera scheduled Autoupdate 1667919720 => C:\Users\Persisting 31\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D74BA0D1-ED92-47D0-AAB4-F70FBF4CC446} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001Core => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {E86EA9E7-A199-4C61-BC09-7EFA80400501} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
Task: {EE4A7989-9192-4D2E-B0B0-B711EB5424DB} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001UA => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{E7A3150F-C890-4677-B3B9-59A424BFC116}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{04A8D5B3-A5C1-4C6F-A6EA-14DB7D044E1E}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{6796509A-28C7-449D-B9AF-F556D6A724EE}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{107177C4-5022-4D09-A8D3-60A55E173DB3}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B5BB2C17-9302-4809-86A5-9B63DBABC5C6}] => (Allow) C:\Windows\rss\csrss.exe () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
C:\Windows\rss\csrss.exe
FirewallRules: [TCP Query User{B3253B8E-BFB3-455D-B08C-6709157433B1}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{5C0F95B4-E671-481B-8576-8FB189C41CF6}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{7A443275-5220-4AE0-9CC4-898A31959BE0}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{CA093B62-559F-4239-A59D-ED22FC249AA8}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{82BE708F-15B7-43A3-995D-A7A716003668}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [UDP Query User{A22FC0F5-96BB-49F5-96F5-A33EBB2679D1}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{7BEE7F6E-0D6D-42FA-93E9-9B3FD5245AB4}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{53324620-D0AB-4412-8EC1-0A4C91ACBD35}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{05CB4072-5FFF-4BCE-BDF7-BC80007C6EE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [{5A020E35-3DBA-4412-8A84-BC5380042DE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{4C443B76-2770-436F-96CA-572CD2CE24B8}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{49402B85-DCC4-42DD-9707-2A59A6312CFB}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{695FE61F-CD1A-4F60-8068-ED7E8E612386}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{F19B09D4-725A-44F7-8869-E3E1710CF0AE}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{7E5FF2F3-C9CA-42A4-B056-44EAAAC6F015}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{C7740D5B-DE17-45D3-B17E-05E0F9097680}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{BF8ABE7E-94C8-4143-9061-A34E2CD516A7}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{91EF0AD2-F639-4DF7-B9B1-A871A00EBE92}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{3A59688C-7201-48FA-9EEC-1BE4C7EB9263}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [UDP Query User{5D85E65F-6538-4F4F-BBD4-FD04C85FEB70}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{23062F1F-1DA3-457C-9B69-098E42DC1056}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{79202D8C-1105-4FA4-B2B8-3F9004FE597A}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [TCP Query User{FF3BB045-E6D1-419A-B47A-B0FE01FEC385}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{F8A0AAC0-D826-4DF5-9365-FE49DE3469D0}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{963714CC-FE31-4D12-813C-467EA04B4008}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{1BAE8974-87EB-46AC-8B46-6107DFA7094C}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [TCP Query User{A6920BCC-3E7F-4DE9-BB4A-601D2059B293}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [UDP Query User{2206817B-D1FB-4416-B6CC-184B7C923819}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [TCP Query User{425E32F6-2A7B-408D-AC3F-B5CA28A4676E}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{56595058-5060-463D-9E80-95BE88068EF9}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{9C7507F2-E8C1-4F26-9CFA-63597A6AFEC6}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{984FB16E-144E-4045-A428-A912D40E8B5A}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{D5280673-E804-4EDC-ACA3-D12B22797244}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{8411CCBD-672B-48FE-952A-4B4E0C859447}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [TCP Query User{CCCEDB16-0ACA-4872-8225-3CD7C46B084A}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [UDP Query User{90F8907B-E1AE-40A2-9495-F87EBFF3C500}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [TCP Query User{F3C234F0-25AF-4B63-9A78-BEF02E7551E0}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [UDP Query User{2A636662-596E-4B36-87CF-315B8D41BD2C}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{F510AADC-B392-4D67-B7D0-5263C20727FD}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{1F53A0DF-477F-4129-AD4E-EC61B516A588}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [TCP Query User{8BE99A99-60A6-4E58-BD95-805A0A73D62D}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{CB07F305-F5D5-444A-BCE6-4A96A953359A}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{DFCB7C83-8610-4869-8EC2-728A4D0EAD32}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{9BDACF87-0381-4FBB-AF4B-FDFEA65D0643}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [TCP Query User{9A1F00E9-1B80-4E6D-8F28-D719850F173B}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [UDP Query User{9D3E863C-2A8D-439F-969C-ABD30B2B2D48}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{330531BF-B33E-4516-A83B-B1BEC5A08B8E}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{47FC544F-967B-4931-A84A-F19AB774EBBD}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [TCP Query User{C2AB3E14-A5C5-4102-9594-C8A9E0D4E2A5}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{BD5922B9-A5EA-40B3-9B46-B3D386ED9B72}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{112DEE81-8B7F-476E-B7DA-E05B3E9F740D}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{8A9DA63E-C53C-4CE1-9E21-B5786C50F4D1}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{A9CA495F-BB66-479F-A33F-213C13DCBF39}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{B568A74B-5ED6-4D32-B351-86671C8A6378}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{8F610F70-7F8B-412A-8C72-69A139DB2F65}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{C37754D9-6904-4D10-8F23-6C4C09AC5FF9}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{DFB52F41-CA6C-4562-9DE1-55EA64CF6CB7}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{D1E5F3D2-C9CA-4653-81C6-25E9C528FE54}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{35D37343-8A83-4848-ADC5-865922C45FDB}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{CDBA02E6-6E87-41EB-9DEB-027844DA8326}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{27F854DB-B428-402A-9AA3-6F6F8D0A8BEF}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{FF75A71B-A9E4-4961-AB5A-07E38522499E}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{A849D0B1-2A85-4441-8E83-ABE52A464E01}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{97D5E5D8-A841-497A-944F-2B53DB32AD20}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{D79B4F98-ECDE-4363-AC65-758C459F20A4}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{FB9910FF-F39C-44C9-94A1-BC07C7CEFF62}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{8B1DA982-DE2D-4332-A394-283E8ADA2602}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{87A722E4-20F3-4C3B-9ECC-CFF335FF4ED3}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [TCP Query User{4765CE24-BEC1-4FDF-BE54-1730DFDBB34A}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{F33903F9-0002-494F-A8DB-C3A4A7D52ADF}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CAE43CD0-1491-4025-8D94-0E30415E8B29}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CF8DA72D-2536-47BB-9571-61682A5F28BB}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{71A4621E-3CFB-462F-99E9-7C2AA80E9A15}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{A37A80CA-28BA-49E5-A781-18D847886863}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{F53560AF-F417-444B-A37D-31DDB7153500}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{72CD23AE-D230-4F39-A79C-F215B473A1FE}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{1F2B705B-FD12-4927-971E-A51CCEFAE9BC}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [UDP Query User{FE3FAB8A-B2C5-43C4-BBF1-614569AF6188}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{C6FE7614-F393-4E37-8701-013623F38606}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{46D43F18-F927-4DDF-8AE9-FBA4EFB373F3}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [TCP Query User{349895A4-C945-47B0-9611-96D4AB61A966}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C171CA29-F01C-43A2-B8F6-D694D92BCBD7}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{19A4C2B1-E460-48D2-8731-3AE926B7E259}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{270771F0-4552-41D5-B46E-41D740AE6BB3}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{A3488D84-E5B6-4280-9CED-9FE97675602F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{EC163BF6-E310-4540-9B71-F43A218FDC64}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{5D468290-4D89-45B0-A3A8-D413D14FF743}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{CB7E47CA-884E-42C5-8FC4-E32F1135B938}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Не поменялось ничего, все также определяется Winдефендером, но сделать он с ним ничего не может

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Fixlog.txtАнтивирус теперь говорит что все чисто, Fixlog прикрепил. Будет какая-либо доп. проверка что вирусов нету или на этом уже заканчиваем?

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

 

  • Выделите следующий код: 
    Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Persisting 31\AppData\Local\Temp\csrss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Этот скрипт вы запускали несколько раз, достаточно было одного.

 

Хорошо, если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

SecurityCheck.txtВот
По поводу нескольких запусков - сначала почему-то скопировалось без этих двоеточий после Start, Reboot и End, видимо из-за этого скрипт не запускался, и прошло несколько попыток пока я не скопировал скрипт заново

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.36.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Node.js v.18.1.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.19.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.6 v.4.3.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 92.0.4561.43 v.92.0.4561.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 77.0.4054.298 v.77.0.4054.298 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 96.0.4693.104 v.96.0.4693.104 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • FugaPRO22
      Подцепил Trojan:MSIL/Wemaeye.A касперский и антивирус windows ничего не нашли
      От FugaPRO22
      лог от FRST FRST.txt
       
    • Макс23
      [РЕШЕНО] Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm
      От Макс23
      Встроенный антивирус в Windows 10 обнаружил вирус в файле steam_api64.dll после чего я этот файл отправленный в карантин восстановил, даже не спрашивайте зачем, обычно я так не делаю.
      После этого при повторным сканировании папки с вирусом антивирус стал выдавать "Пункт пропущен во время сканирования" *Прицепил скриншот. Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит. Но возможно и он пропускает при сканировании этот файл. В исключение антивируса или ещё куда я ничего не добавлял.
      Как исправить это? И что этот вредоносный файл сделал в системе, на сколько я понял это вирус именуется как Trojan:Win32/Znyonm
      Если вирус что то поменял в системе как это исправить, вылечить.
      p.s Я прицепил архив с вирусным файлом. UPD забыл прицепить файлик AutoLogger, добавил архив с CollectionLog

       
      CollectionLog-2023.12.04-10.11.zip
    • Djkarpaccho
      Майнер HEUR:Trojan.Win64.Miner.gen
      От Djkarpaccho
      Добрый день, друзья.
      Ситуация такова, что заметил нагрузку на ГП, через процесс эксплорер выявил процесс find.exe, который запускается через родительский explorer.exe , далее вышел на папку C:\ProgramData\PaperTrailManager-18143644-30da-4ba7-ae35-5cdc3fdafd11 . Удалять, сканировать, лечить - ничего не помогает. Пробовал многое, удалось локализовать проблему, то есть он запускается, но анвир не дает ему дальше ходу, следовательно вопрос его удаления.
      Автор моего творения везде отображается как Andre S.A.R.L. с продуктом red mill
      Отчеты прилагаю far bar прилагаю.
      Буду благодарен помощи, советам к действию)
      FRST.txt Addition.txt
    • loh
      Trojan.multi.genautorunreg.a и Trojan.multi.genautorunProc.a
      От loh
      Ночью нашлось два трояна, касперский не помог в удалении. 
      CollectionLog-2023.11.10-01.29.zip

    • pla3z
      mem.trojan.win32.sepeh.gen
      От pla3z
      не могу удалить этот проклятый троян, помогите
      отчет.zip
×
×
  • Создать...