Развлекаюсь

[Vicio]

  

1 час назад, Vicio сказал:

Приветствую.

Вообщем, такая проблема, ставил для студии, пакеты nuget для проекта на шарпе и видимо что-то тама, было интересное. И вредное, ну и я подцепил походу.

Заметил:

 

 

 

Удалил в папке Roaming файлы, все равно стучит на сервер 51.77.167.52 (ip52.ip-51-77-167.eu)

ребутнул пк и потом, просто висела консоль в процессах и также, отстук шел, но уже от хз какого процесса.

В автозагрузке обнаружил:
 

 

И пока, до конца не вычистил....

Походу, какой-то сервис пытается его все равно запускать, перезагрузил ПК и вылазиет вот это:
 

 

 

Само добро: https:// disk . yandex . ru/d/77lKvfF7Y6wpTQ

 

Буду, благодарен за помощь.

также нашел автозапуск ещё один, но удалив не помогло....

  

выяснил автозапуск \HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

процесс: RuntimeBroker_udgbQ

 

Спасити(((

 

Изменено 12 июля, 2023 пользователем Vicio

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Vicio]

извиняюсь, прикладываю логи. 

Вроде сам почистил, там автозагрузка, планировщик заданий и сервис создает.

Их убиваешь и все. 

CollectionLog-2023.07.12-11.01.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
QuarantineFile('C:\Users\Admin\AppData\Roaming\udgbQ.bat.exe','');
DeleteFile('C:\Users\Admin\AppData\Roaming\udgbQ.bat.exe','');
 DeleteSchedulerTask('$sxr-zmCZHxBYLMelafeJsoip');
ExecuteWizard('TSW',2,2,true);
ExecuteSysClean;
ExecuteRepair(22);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

[Vicio]

@mike 1

Я сам уже очистил, там какой-то сервис, ещё проверял и запускал повторно скрипт vbs.

Можно было увидеть, когда перезапуск делаешь и на 30 секунд видно в процессах, как оно запускает все и пропадает потом:

 

 

Сейчас, уже все ок. Спасибо.

[mike 1]

Скрипт все таки выполните, он убирает прокси сервер левый.