Снова вирусы

[3545firego]

Заметил, что ПК опять чёт бушует. Щас уже более-менее с опытом, снял блокировку с сайтов и антивирусов. Куча всяких троянов и прочего. Откуда - я просто не понимаю. Очень мешают.

Вроде не майнер, но всё равно раздражает наличие вирCollectionLog-2023.07.04-04.56.zipусов, которые просто так не удаляются.

[3545firego]

Забыл добавить. У меня полный пак microsoft office удалился из-за вирусов, и ещё часть других программ удалялась. Я это не сразу понял

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
 TerminateProcessByName('c:\$360section\360.833df6849e8117074d65c915e7f5fd40.q3q');
 DeleteFile('c:\$360section\360.833df6849e8117074d65c915e7f5fd40.q3q','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteSchedulerTask('cFos\Registration Tasks\Open Browser');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataS\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataS\zavbw');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\CheckUP');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\CleanCash');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\Filesystem');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ManagerService');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Скачайте AVBR, запустите, следуйте инструкциям утилиты, прикрепите лог утилиты. 

 

Сделайте новые логи Автологгером. 
 

[3545firego]

Всё сделал.CollectionLog-2023.07.04-18.05.zip

[mike 1]

8 часов назад, mike 1 сказал:

Скачайте AVBR, запустите, следуйте инструкциям утилиты, прикрепите лог утилиты. 

Не все, осталось без внимания. 

[3545firego]

Пардон, забыл.AV_block_remove_2023.07.04-18.28.log

[mike 1]

8 часов назад, mike 1 сказал:

Сделайте новые логи Автологгером. 

Жду свежие после очистки AVBR. 

[3545firego]

А так я же скидывал... ну ладно. ВотCollectionLog-2023.07.04-19.23.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[3545firego]

ВотAddition.txtFRST.txt

[mike 1]

AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}

 

Если в качестве основного антивируса оставляете Касперского, то деинсталлируйте 360 Total Security и Malwarebytes version 4.5.31.270. Если оставляете китайца, то почистите следы KTS с помощью Kavremover. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   virustotal: B:\Program Files\launcher.exe
   2023-07-03 20:10 - 2023-07-03 20:10 - 000000000 __SHD C:\ProgramData\princeton-produce
   AlternateDataStreams: C:\ProgramData:NT [40]
   AlternateDataStreams: C:\ProgramData:NT2 [868]
   AlternateDataStreams: C:\Users\All Users:NT [40]
   AlternateDataStreams: C:\Users\All Users:NT2 [868]
   AlternateDataStreams: C:\Users\Все пользователи:NT [40]
   AlternateDataStreams: C:\Users\Все пользователи:NT2 [868]
   AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
   AlternateDataStreams: C:\ProgramData\Application Data:NT2 [868]
   AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
   AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [868]
   AlternateDataStreams: C:\Users\LittleFlame\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   AlternateDataStreams: C:\Users\LittleFlame\Application Data:NT [40]
   AlternateDataStreams: C:\Users\LittleFlame\Application Data:NT2 [868]
   AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:NT [40]
   AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:NT2 [868]
   HKU\S-1-5-21-743808302-1586529477-580530747-1001\...\StartupApproved\Run: => "F6CF0150B377F4A2C278C86E9BB2EC74D9477A9F._service_run"

   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[3545firego]

Сделал Fixlog.txt

[mike 1]

Что с проблемой?

[3545firego]

Больше ничего не замечаю, вроде всё порядок. Только как так получилось, что опять вирус подхватил? У меня ж и KRVT есть, и 360TS. Касперский юзал какое-то время, но решил заменить. По сайтам не лазею, везде адблокеры

[mike 1]

Майнера подхватили через ломанное ПО. 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме