Перейти к содержанию
Правила раздела

Trojan:Win64/RootAgent

Persisting31

Автор Persisting31,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Persisting31

Persisting31 0

Опубликовано
Опубликовано

Доброго. Сегодня системный антивирус оповестил о двух угрозах - "VirTool:Win64/Glupteba.A", который заразил файл C:\Windows\System32\drivers\Winmon.sys, и "Trojan:Win64/RootAgent", заразивший C:\Windows\System32\drivers\W inmonProcessMonitor.sys. Glupteba удалился без проблем, а троян антивирус распознает но сделать ничего не может. Файла Winmon в директории почему-то не наблюдается. Заранее спасибо за помощь

CollectionLog-2023.05.06-11.15.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 416

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 416

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3CE3913C-C31E-4512-99D2-F7EB396A9C4A} - System32\Tasks\WpsExternal_Persisting 31_20221113204126 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Нет файла)
Task: {89A2DEF1-EAB3-45F9-B3F0-D5418E806E67} - System32\Tasks\WpsUpdateTask_Persisting 31 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpsupdate.exe -from=task (Нет файла)
Task: {B6A12564-BDB9-48A9-B837-61F266C52517} - System32\Tasks\Opera scheduled Autoupdate 1667919720 => C:\Users\Persisting 31\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D74BA0D1-ED92-47D0-AAB4-F70FBF4CC446} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001Core => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {E86EA9E7-A199-4C61-BC09-7EFA80400501} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
Task: {EE4A7989-9192-4D2E-B0B0-B711EB5424DB} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001UA => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{E7A3150F-C890-4677-B3B9-59A424BFC116}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{04A8D5B3-A5C1-4C6F-A6EA-14DB7D044E1E}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{6796509A-28C7-449D-B9AF-F556D6A724EE}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{107177C4-5022-4D09-A8D3-60A55E173DB3}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B5BB2C17-9302-4809-86A5-9B63DBABC5C6}] => (Allow) C:\Windows\rss\csrss.exe () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
C:\Windows\rss\csrss.exe
FirewallRules: [TCP Query User{B3253B8E-BFB3-455D-B08C-6709157433B1}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{5C0F95B4-E671-481B-8576-8FB189C41CF6}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{7A443275-5220-4AE0-9CC4-898A31959BE0}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{CA093B62-559F-4239-A59D-ED22FC249AA8}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{82BE708F-15B7-43A3-995D-A7A716003668}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [UDP Query User{A22FC0F5-96BB-49F5-96F5-A33EBB2679D1}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{7BEE7F6E-0D6D-42FA-93E9-9B3FD5245AB4}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{53324620-D0AB-4412-8EC1-0A4C91ACBD35}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{05CB4072-5FFF-4BCE-BDF7-BC80007C6EE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [{5A020E35-3DBA-4412-8A84-BC5380042DE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{4C443B76-2770-436F-96CA-572CD2CE24B8}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{49402B85-DCC4-42DD-9707-2A59A6312CFB}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{695FE61F-CD1A-4F60-8068-ED7E8E612386}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{F19B09D4-725A-44F7-8869-E3E1710CF0AE}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{7E5FF2F3-C9CA-42A4-B056-44EAAAC6F015}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{C7740D5B-DE17-45D3-B17E-05E0F9097680}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{BF8ABE7E-94C8-4143-9061-A34E2CD516A7}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{91EF0AD2-F639-4DF7-B9B1-A871A00EBE92}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{3A59688C-7201-48FA-9EEC-1BE4C7EB9263}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [UDP Query User{5D85E65F-6538-4F4F-BBD4-FD04C85FEB70}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{23062F1F-1DA3-457C-9B69-098E42DC1056}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{79202D8C-1105-4FA4-B2B8-3F9004FE597A}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [TCP Query User{FF3BB045-E6D1-419A-B47A-B0FE01FEC385}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{F8A0AAC0-D826-4DF5-9365-FE49DE3469D0}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{963714CC-FE31-4D12-813C-467EA04B4008}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{1BAE8974-87EB-46AC-8B46-6107DFA7094C}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [TCP Query User{A6920BCC-3E7F-4DE9-BB4A-601D2059B293}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [UDP Query User{2206817B-D1FB-4416-B6CC-184B7C923819}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [TCP Query User{425E32F6-2A7B-408D-AC3F-B5CA28A4676E}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{56595058-5060-463D-9E80-95BE88068EF9}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{9C7507F2-E8C1-4F26-9CFA-63597A6AFEC6}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{984FB16E-144E-4045-A428-A912D40E8B5A}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{D5280673-E804-4EDC-ACA3-D12B22797244}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{8411CCBD-672B-48FE-952A-4B4E0C859447}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [TCP Query User{CCCEDB16-0ACA-4872-8225-3CD7C46B084A}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [UDP Query User{90F8907B-E1AE-40A2-9495-F87EBFF3C500}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [TCP Query User{F3C234F0-25AF-4B63-9A78-BEF02E7551E0}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [UDP Query User{2A636662-596E-4B36-87CF-315B8D41BD2C}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{F510AADC-B392-4D67-B7D0-5263C20727FD}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{1F53A0DF-477F-4129-AD4E-EC61B516A588}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [TCP Query User{8BE99A99-60A6-4E58-BD95-805A0A73D62D}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{CB07F305-F5D5-444A-BCE6-4A96A953359A}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{DFCB7C83-8610-4869-8EC2-728A4D0EAD32}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{9BDACF87-0381-4FBB-AF4B-FDFEA65D0643}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [TCP Query User{9A1F00E9-1B80-4E6D-8F28-D719850F173B}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [UDP Query User{9D3E863C-2A8D-439F-969C-ABD30B2B2D48}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{330531BF-B33E-4516-A83B-B1BEC5A08B8E}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{47FC544F-967B-4931-A84A-F19AB774EBBD}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [TCP Query User{C2AB3E14-A5C5-4102-9594-C8A9E0D4E2A5}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{BD5922B9-A5EA-40B3-9B46-B3D386ED9B72}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{112DEE81-8B7F-476E-B7DA-E05B3E9F740D}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{8A9DA63E-C53C-4CE1-9E21-B5786C50F4D1}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{A9CA495F-BB66-479F-A33F-213C13DCBF39}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{B568A74B-5ED6-4D32-B351-86671C8A6378}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{8F610F70-7F8B-412A-8C72-69A139DB2F65}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{C37754D9-6904-4D10-8F23-6C4C09AC5FF9}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{DFB52F41-CA6C-4562-9DE1-55EA64CF6CB7}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{D1E5F3D2-C9CA-4653-81C6-25E9C528FE54}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{35D37343-8A83-4848-ADC5-865922C45FDB}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{CDBA02E6-6E87-41EB-9DEB-027844DA8326}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{27F854DB-B428-402A-9AA3-6F6F8D0A8BEF}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{FF75A71B-A9E4-4961-AB5A-07E38522499E}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{A849D0B1-2A85-4441-8E83-ABE52A464E01}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{97D5E5D8-A841-497A-944F-2B53DB32AD20}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{D79B4F98-ECDE-4363-AC65-758C459F20A4}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{FB9910FF-F39C-44C9-94A1-BC07C7CEFF62}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{8B1DA982-DE2D-4332-A394-283E8ADA2602}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{87A722E4-20F3-4C3B-9ECC-CFF335FF4ED3}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [TCP Query User{4765CE24-BEC1-4FDF-BE54-1730DFDBB34A}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{F33903F9-0002-494F-A8DB-C3A4A7D52ADF}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CAE43CD0-1491-4025-8D94-0E30415E8B29}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CF8DA72D-2536-47BB-9571-61682A5F28BB}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{71A4621E-3CFB-462F-99E9-7C2AA80E9A15}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{A37A80CA-28BA-49E5-A781-18D847886863}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{F53560AF-F417-444B-A37D-31DDB7153500}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{72CD23AE-D230-4F39-A79C-F215B473A1FE}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{1F2B705B-FD12-4927-971E-A51CCEFAE9BC}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [UDP Query User{FE3FAB8A-B2C5-43C4-BBF1-614569AF6188}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{C6FE7614-F393-4E37-8701-013623F38606}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{46D43F18-F927-4DDF-8AE9-FBA4EFB373F3}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [TCP Query User{349895A4-C945-47B0-9611-96D4AB61A966}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C171CA29-F01C-43A2-B8F6-D694D92BCBD7}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{19A4C2B1-E460-48D2-8731-3AE926B7E259}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{270771F0-4552-41D5-B46E-41D740AE6BB3}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{A3488D84-E5B6-4280-9CED-9FE97675602F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{EC163BF6-E310-4540-9B71-F43A218FDC64}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{5D468290-4D89-45B0-A3A8-D413D14FF743}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{CB7E47CA-884E-42C5-8FC4-E32F1135B938}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Не поменялось ничего, все также определяется Winдефендером, но сделать он с ним ничего не может

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

Fixlog.txtАнтивирус теперь говорит что все чисто, Fixlog прикрепил. Будет какая-либо доп. проверка что вирусов нету или на этом уже заканчиваем?

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

 

  • Выделите следующий код: 
    Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Persisting 31\AppData\Local\Temp\csrss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

Этот скрипт вы запускали несколько раз, достаточно было одного.

 

Хорошо, если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Persisting31

Persisting31 0

Опубликовано
  • Автор
Опубликовано

SecurityCheck.txtВот
По поводу нескольких запусков - сначала почему-то скопировалось без этих двоеточий после Start, Reboot и End, видимо из-за этого скрипт не запускался, и прошло несколько попыток пока я не скопировал скрипт заново

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 188

Опубликовано
Опубликовано

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.36.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Node.js v.18.1.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.19.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.6 v.4.3.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 92.0.4561.43 v.92.0.4561.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 77.0.4054.298 v.77.0.4054.298 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 96.0.4693.104 v.96.0.4693.104 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Димогло
      Trojan.Multi.GenAutoran.a
      От Димогло
      Переустановка винды не помогает
      CollectionLog-2023.08.29-11.07.zip
    • kufzyy
      Дефендер ругается на powershell Trojan:MSIL/r77Rootkit.A!MTB
      От kufzyy
      Заметил что дефендер ругается на троян Trojan:MSIL/r77Rootkit.A!MTB, сканировал пк dr.web cureit, dr.web space. Оба ничего не показали, до этого ловил вирус, удалил через доктора, он не грузит систему, он абсолютно не мешает работе на компе, проверял много раз комп ничего абсолютно ничего не находилось, этот повершелл не разу не открывался во время работы тоесть он вообще даже не открывается, пустышка на которую дефендер ругается и удаляет, точку восстановление делать не буду,  при каждом запуске пк он его находит и удаляет
    • Cardi
      Подскажите, пожалуйста, как удалить вирус heur:Trojan.Win32.Miner.gen?
      От Cardi
      Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?
      При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется. 

    • 5Карина5
      Trojan:Win64/DisguisedXMRigMiner
      От 5Карина5
      Помогите удалить троян, ничего не помогает 
    • 77777
      [РЕШЕНО] Trojan:Win64/DisguisedXMRigMiner
      От 77777
      Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит
      Обнаружено: Trojan:Win64/DisguisedXMRigMiner
      Состояние: Активно
       
      Касперский и докторвеб - ничего не находят
       
       
      CollectionLog-2023.06.28-15.47.zip
      FRST.txt Addition.txt
×
×
  • Создать...