Перейти к содержанию

[РЕШЕНО] Как удалить Trojan.Multi.LockedFolder.a ?


Рекомендуемые сообщения

Татьяна Александровна
Опубликовано

Всем - здравствуйте !

В работе задействован штатный антивирус Microsoft Defender. Несколько дней назад обратили внимание на то, что в "Защита от вирусов и угроз" не активен "Запуск действий" в текущих угрозах. Произвели проверки при помощи двух утилит: Kaspersky Virus Removal Tool и Dr.Web Curelt, в ходе которых был обнаружен Trojan.Multi.LockedFolder.a. Удалить его не представляется возможным.

Прошу оказать помощь в удалении данного вируса.

 

Троян..jpeg

Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Shockwave Player + Authorware Web Player

Adobe Shockwave Player 12.3

Advanced SystemCare

Driver Booster 10

IObit Software Updater

IObit Uninstaller 12

MediaGet

Кнопка "Яндекс" на панели задач

 

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Опубликовано

Предустановленное ПО не отмечайте галочками, остальное чистим:

 

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Татьяна Александровна
Опубликовано

Выполнили указанные действия №-1.

AdwCleaner[C01].txt

Произвели перезагрузку компьютера.

Выполнили указанные действия №-2.

Addition.txt

FRST.txt

Опубликовано

Отлично, продолжаем.

 

1. Из перечня нежелательных программ остались не удалены эти:

Цитата

 

IObit Uninstaller 12

Smart Defrag 8

 

Удалите.

 

Затем:

2.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {0a4f7ea1-6f3d-11ed-a0b5-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {0a4f7f51-6f3d-11ed-a0b5-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {1855d96d-e71c-11ec-a073-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {18b840c9-3f0e-11ed-a096-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {2b7f1b3d-9115-11eb-9fa3-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {67c1355d-4c20-11ec-9fe6-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {94c1d630-3705-11eb-9f79-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {b4d6b267-f8b3-11ea-9f58-54ab3a97b508} - "D:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {b7bbb010-cb58-11eb-9fb7-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {bacbec78-42f4-11ec-9fd5-54ab3a97b508} - "E:\SISetup.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {bedadd7f-7183-11ed-a0b7-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {fb746354-ea21-11ec-a076-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {1570A649-1264-4110-9373-DF1F8456AAE5} - System32\Tasks\Uninstaller_SkipUac_Татьяна => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [9406472 2023-05-04] (IObit CO., LTD -> IObit)
    Task: {48C4AA31-4DD5-47E6-8DDC-6B685439058B} - System32\Tasks\Software Updater SkipUAC(Татьяна) => "C:\Program Files (x86)\IObit\Software Updater\SoftwareUpdater.exe"  /SkipUac (Нет файла) <==== ВНИМАНИЕ
    Task: {5869E526-A570-44BA-BB01-51459EE6B6ED} - System32\Tasks\SmartDefrag_Update => C:\Program Files (x86)\IObit\Smart Defrag\AutoUpdate.exe [3657440 2023-05-12] (IObit CO., LTD -> IObit)
    Task: {7913B0F3-00E6-440E-A500-0D7926BCDC4B} - System32\Tasks\SmartDefrag_AutoAnalyze => C:\Program Files (x86)\IObit\Smart Defrag\AutoDefrag.exe [314128 2018-05-02] (IObit Information Technology -> IObit)
    Task: {950CD8F9-8A4A-493D-BA21-A1B47445FD10} - System32\Tasks\SmartDefrag_Startup => C:\Program Files (x86)\IObit\Smart Defrag\SmartDefrag.exe [6099680 2023-05-19] (IObit CO., LTD -> IObit)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    C:\Users\домашний\AppData\Local\Google\Chrome\User Data\Default\Extensions\imgpenhngnbnmhdkpdfnfhdpmfgmihdn
    S2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [167432 2022-10-20] (IObit CO., LTD -> IObit)
    S2 AdvancedSystemCareService16; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
    R0 SmartDefragDriver; C:\WINDOWS\System32\Drivers\SmartDefragDriver.sys [30744 2017-03-09] (IObit Information Technology -> IObit)
    2023-05-24 09:06 - 2019-09-12 09:59 - 000178960 _____ (IObit) C:\WINDOWS\system32\IObitSmartDefragExtension.dll
    2023-05-24 09:06 - 2017-03-09 13:53 - 000030744 _____ (IObit) C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys
    2023-06-15 11:54 - 2018-03-26 16:27 - 000000000 ____D C:\Users\домашний\AppData\Roaming\IObit
    2023-06-15 11:54 - 2018-03-26 16:26 - 000000000 ____D C:\ProgramData\IObit
    2023-04-20 18:04 C:\Program Files\McAfee
    2023-04-20 18:04 C:\Program Files (x86)\K7 Computing
    2023-04-20 18:04 C:\ProgramData\Comodo
    2023-04-20 18:04 C:\ProgramData\K7 Computing
    2023-04-20 18:04 C:\ProgramData\RDP Wrapper
    swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
    Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\{f63cdf24-ab39-411d-bb95-c915d034ff71}) (Version: 1.0.0.0 - asevcuk865) Hidden
    ContextMenuHandlers1: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\WINDOWS\System32\IObitSmartDefragExtension.dll [2019-09-12] (IObit Information Technology -> IObit)
    ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
    ContextMenuHandlers4: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers6: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
    ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\WINDOWS\System32\IObitSmartDefragExtension.dll [2019-09-12] (IObit Information Technology -> IObit)
    BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
    FirewallRules: [{97103A28-6138-4006-9209-3BA3F49D30F0}] => (Allow) LPort=1542
    FirewallRules: [{E3326F3A-97DD-47CE-B59E-119429E98F3F}] => (Allow) LPort=1542
    FirewallRules: [{E6DAD603-C85F-442A-B379-18DC62D61F70}] => (Allow) LPort=53
    FirewallRules: [{91AD8995-B198-4DAB-B233-178B55696351}] => (Allow) LPort=53
    FirewallRules: [{2DE7E489-3723-4A67-932D-D29B822A4170}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣䉪煑⹇硥e => Нет файла
    FirewallRules: [{20C01A6E-2FCD-4EA6-8DAA-4D5562B3D1E6}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{77CB07D5-781F-4553-8D5C-083D2C4B5654}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{46BCE8CA-174A-4476-81A1-69F65EC94189}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣㑔奙攮數 => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

3. В перечне установленных программ появятся скрытые ранее

Цитата

 

swMSM

Ultimate Ad Eraser 1.0.0.0

 

Удалите их.

Будут "сопротивляться", удалите принудительно через Geek Uninstaller

Татьяна Александровна
Опубликовано

swMSM и Ultimate Ad Eraser 1.0.0.0 не появились.

 

Fixlog.txt

Татьяна Александровна
Опубликовано

Извиняюсь.

Нашли и удалили принудительно.

Опубликовано

Хорошо. Сделайте сейчас те же проверки, что были в вашем первом сообщении и сообщите результат.

Татьяна Александровна
Опубликовано

Хорошо, приступаем.

Татьяна Александровна
Опубликовано

Здравствуйте !

Всё отлично, проверили двумя сканерами.

Большое спасибо !!!

Снимок экрана 2023-06-16 120549.png

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dmdozors1982
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • Екатерина12165
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • Yann
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • Чилипиздрик
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • -AdviZzzor-
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
×
×
  • Создать...