Trojan multi locked foder

[Женя Елинск 0]

Приветствую, этот вирус не дает мне открывать некоторые приложения с ошибкой от eplorer.exe, нет прав и тд. Занес его с майнером на комп, еле как справился другими вирусами а этот еще остался

[Sandor 1 303]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Архив CollectionLog прикрепите к следующему сообщению в этой теме.

[Женя Елинск 0]

CollectionLog-2023.10.20-15.12.zip

Может важно знать, когда вирус поймал множество приложений были недоступны по типу вспомогательных программ, после самостоятельной попытки решения проблемы многие приложения стали снова доступны, вирус вроде ушел перестал греться комп, но хром все еще не доступен пишет что не удается получить доступ у обьекту и удалить я его тоже не могу.

[Sandor 1 303]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 12 Plugin

Adobe Shockwave Player 12.0 

 

а также обе устаревшие вeрсии Java.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Женя Елинск 0]

Удалил

Addition.txt FRST.txt

[thyrex 1 418]

C:\Users\HONOR\Downloads\KMSAuto++ Portable v1.8.0.zip - это источник майнера.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы удалите старые и соберите новые логи Farbar.
 

[Женя Елинск 0]

AV_block_remove_2023.10.20-17.26.log

Только что, Женя Елинск сказал:

AV_block_remove_2023.10.20-17.26.log 12 kB · 0 загрузок

Новые логи надо прикрепить ?

 

[thyrex 1 418]

3 часа назад, Женя Елинск сказал:

Новые логи надо прикрепить ?

конечно

[Женя Елинск 0]

FRST.txtAddition.txt

[Sandor 1 303]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {758409c7-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
  HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {75840a07-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
  HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {75840a76-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0917e41f-ecdc-4215-b8bc-24af70978071} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {1735e323-707b-4ad2-8bc2-b6089fa5d32e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {1959000e-a702-4cfc-a58e-6f69f2386d8d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {3A2EAEFA-64DA-420F-82B7-54A8AE5BE3F1} - \Microsoft\Windows\MasterDataU\KGxuFGBn1BHRCA -> Нет файла <==== ВНИМАНИЕ
  Task: {3fc304af-1f25-4d4e-8dff-5d30d3a67085} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {52B67D7E-3992-421C-98CE-8BF611FCF2AA} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {6c18dc26-933c-4d4b-902b-219f69cca6a8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {B87D05B4-5E6C-4A33-9535-86D282A4FD04} - \Microsoft\Windows\WindowsBackup\MasterData -> Нет файла <==== ВНИМАНИЕ
  Task: {DB73062E-3709-4DD5-91ED-0984234E3049} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {EEF1FB27-8305-4BDA-943A-E09165E12694} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  Task: {f336eeb6-b222-4f0d-b81b-98d3dd4e3453} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {FB0D8CB4-5206-4C53-B275-F4DA7F46E5B9} - \Microsoft\Windows\WindowsBackup\CleanCash -> Нет файла <==== ВНИМАНИЕ
  Task: {fbaacc16-5dec-4ca9-979a-b74bf494fa88} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-2013767568-2486975643-598517991-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  2023-10-19 22:11 - 2023-10-19 22:11 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2023-10-19 22:11 - 2023-10-19 22:11 - 000000000 __SHD C:\ProgramData\princeton-produce
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 25 октября, 2023 пользователем Sandor

[Женя Елинск 0]

Если я правильно понялFixlog.txt то надо было скопировать текст и просто нажать исправить в фрст ?

[Sandor 1 303]

Да, вы все выполнили верно. Еще один небольшой скрипт выполните в безопасном режиме.

 

•  
• Выделите следующий код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Женя Елинск 0]

Fixlog.txt

[Sandor 1 303]

Вы повторно выполнили предыдущий скрипт. А нужно было следующий из этого сообщения.

Сделайте, пожалуйста.

[Женя Елинск 0]

Fixlog.txt Извиняюсь, вот