[РЕШЕНО] Как удалить Trojan.Multi.LockedFolder.a ?

[Татьяна Александровна]

Всем - здравствуйте !

В работе задействован штатный антивирус Microsoft Defender. Несколько дней назад обратили внимание на то, что в "Защита от вирусов и угроз" не активен "Запуск действий" в текущих угрозах. Произвели проверки при помощи двух утилит: Kaspersky Virus Removal Tool и Dr.Web Curelt, в ходе которых был обнаружен Trojan.Multi.LockedFolder.a. Удалить его не представляется возможным.

Прошу оказать помощь в удалении данного вируса.

 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в этой же теме.

[Татьяна Александровна]

CollectionLog-2023.06.15-09.10.zip

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Shockwave Player + Authorware Web Player

Adobe Shockwave Player 12.3

Advanced SystemCare

Driver Booster 10

IObit Software Updater

IObit Uninstaller 12

MediaGet

Кнопка "Яндекс" на панели задач

 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Татьяна Александровна]

Указанные приложения удалены.AdwCleaner[S00].txt

 

[Sandor]

Предустановленное ПО не отмечайте галочками, остальное чистим:

 

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Татьяна Александровна]

Выполнили указанные действия №-1.

AdwCleaner[C01].txt

Произвели перезагрузку компьютера.

Выполнили указанные действия №-2.

Addition.txt

FRST.txt

[Sandor]

Отлично, продолжаем.

 

1. Из перечня нежелательных программ остались не удалены эти:

Цитата

 

IObit Uninstaller 12

Smart Defrag 8

 

Удалите.

 

Затем:

2.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {0a4f7ea1-6f3d-11ed-a0b5-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {0a4f7f51-6f3d-11ed-a0b5-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {1855d96d-e71c-11ec-a073-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {18b840c9-3f0e-11ed-a096-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {2b7f1b3d-9115-11eb-9fa3-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {67c1355d-4c20-11ec-9fe6-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {94c1d630-3705-11eb-9f79-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {b4d6b267-f8b3-11ea-9f58-54ab3a97b508} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {b7bbb010-cb58-11eb-9fb7-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {bacbec78-42f4-11ec-9fd5-54ab3a97b508} - "E:\SISetup.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {bedadd7f-7183-11ed-a0b7-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\MountPoints2: {fb746354-ea21-11ec-a076-54ab3a97b508} - "E:\HiSuiteDownLoader.exe" 
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {1570A649-1264-4110-9373-DF1F8456AAE5} - System32\Tasks\Uninstaller_SkipUac_Татьяна => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [9406472 2023-05-04] (IObit CO., LTD -> IObit)
  Task: {48C4AA31-4DD5-47E6-8DDC-6B685439058B} - System32\Tasks\Software Updater SkipUAC(Татьяна) => "C:\Program Files (x86)\IObit\Software Updater\SoftwareUpdater.exe"  /SkipUac (Нет файла) <==== ВНИМАНИЕ
  Task: {5869E526-A570-44BA-BB01-51459EE6B6ED} - System32\Tasks\SmartDefrag_Update => C:\Program Files (x86)\IObit\Smart Defrag\AutoUpdate.exe [3657440 2023-05-12] (IObit CO., LTD -> IObit)
  Task: {7913B0F3-00E6-440E-A500-0D7926BCDC4B} - System32\Tasks\SmartDefrag_AutoAnalyze => C:\Program Files (x86)\IObit\Smart Defrag\AutoDefrag.exe [314128 2018-05-02] (IObit Information Technology -> IObit)
  Task: {950CD8F9-8A4A-493D-BA21-A1B47445FD10} - System32\Tasks\SmartDefrag_Startup => C:\Program Files (x86)\IObit\Smart Defrag\SmartDefrag.exe [6099680 2023-05-19] (IObit CO., LTD -> IObit)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\домашний\AppData\Local\Google\Chrome\User Data\Default\Extensions\imgpenhngnbnmhdkpdfnfhdpmfgmihdn
  S2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [167432 2022-10-20] (IObit CO., LTD -> IObit)
  S2 AdvancedSystemCareService16; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
  R0 SmartDefragDriver; C:\WINDOWS\System32\Drivers\SmartDefragDriver.sys [30744 2017-03-09] (IObit Information Technology -> IObit)
  2023-05-24 09:06 - 2019-09-12 09:59 - 000178960 _____ (IObit) C:\WINDOWS\system32\IObitSmartDefragExtension.dll
  2023-05-24 09:06 - 2017-03-09 13:53 - 000030744 _____ (IObit) C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys
  2023-06-15 11:54 - 2018-03-26 16:27 - 000000000 ____D C:\Users\домашний\AppData\Roaming\IObit
  2023-06-15 11:54 - 2018-03-26 16:26 - 000000000 ____D C:\ProgramData\IObit
  2023-04-20 18:04 C:\Program Files\McAfee
  2023-04-20 18:04 C:\Program Files (x86)\K7 Computing
  2023-04-20 18:04 C:\ProgramData\Comodo
  2023-04-20 18:04 C:\ProgramData\K7 Computing
  2023-04-20 18:04 C:\ProgramData\RDP Wrapper
  swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
  Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-2424490496-1582464234-1223135471-1001\...\{f63cdf24-ab39-411d-bb95-c915d034ff71}) (Version: 1.0.0.0 - asevcuk865) Hidden
  ContextMenuHandlers1: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\WINDOWS\System32\IObitSmartDefragExtension.dll [2019-09-12] (IObit Information Technology -> IObit)
  ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
  ContextMenuHandlers4: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers6: [IObitUninstaller] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll [2022-10-20] (IObit CO., LTD -> IObit)
  ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\WINDOWS\System32\IObitSmartDefragExtension.dll [2019-09-12] (IObit Information Technology -> IObit)
  BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
  FirewallRules: [{97103A28-6138-4006-9209-3BA3F49D30F0}] => (Allow) LPort=1542
  FirewallRules: [{E3326F3A-97DD-47CE-B59E-119429E98F3F}] => (Allow) LPort=1542
  FirewallRules: [{E6DAD603-C85F-442A-B379-18DC62D61F70}] => (Allow) LPort=53
  FirewallRules: [{91AD8995-B198-4DAB-B233-178B55696351}] => (Allow) LPort=53
  FirewallRules: [{2DE7E489-3723-4A67-932D-D29B822A4170}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣䉪煑⹇硥e => Нет файла
  FirewallRules: [{20C01A6E-2FCD-4EA6-8DAA-4D5562B3D1E6}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{77CB07D5-781F-4553-8D5C-083D2C4B5654}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{46BCE8CA-174A-4476-81A1-69F65EC94189}] => (Allow) 㩃啜敳獲峩灁䑰瑡屡潒浡湩屧潴屣㑔奙攮數 => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

3. В перечне установленных программ появятся скрытые ранее

Цитата

 

swMSM

Ultimate Ad Eraser 1.0.0.0

 

Удалите их.

Будут "сопротивляться", удалите принудительно через Geek Uninstaller

[Татьяна Александровна]

swMSM и Ultimate Ad Eraser 1.0.0.0 не появились.

 

Fixlog.txt

[Sandor]

Через Geek их тоже не видно?

[Татьяна Александровна]

Извиняюсь.

Нашли и удалили принудительно.

[Sandor]

Хорошо. Сделайте сейчас те же проверки, что были в вашем первом сообщении и сообщите результат.

[Татьяна Александровна]

Хорошо, приступаем.

[Sandor]

Каков результат?

[Татьяна Александровна]

Здравствуйте !

Всё отлично, проверили двумя сканерами.

Большое спасибо !!!