Перейти к содержанию

Trojan multi locked foder


Женя Елинск

Рекомендуемые сообщения

Приветствую, этот вирус не дает мне открывать некоторые приложения с ошибкой от eplorer.exe, нет прав и тд. Занес его с майнером на комп, еле как справился другими вирусами а этот еще остался

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Архив CollectionLog прикрепите к следующему сообщению в этой теме.

Ссылка на комментарий
Поделиться на другие сайты

CollectionLog-2023.10.20-15.12.zip

Может важно знать, когда вирус поймал множество приложений были недоступны по типу вспомогательных программ, после самостоятельной попытки решения проблемы многие приложения стали снова доступны, вирус вроде ушел перестал греться комп, но хром все еще не доступен пишет что не удается получить доступ у обьекту и удалить я его тоже не могу.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 12 Plugin

Adobe Shockwave Player 12.0 

 

а также обе устаревшие вeрсии Java.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

C:\Users\HONOR\Downloads\KMSAuto++ Portable v1.8.0.zip - это источник майнера.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы удалите старые и соберите новые логи Farbar.
 

Ссылка на комментарий
Поделиться на другие сайты

AV_block_remove_2023.10.20-17.26.log

Только что, Женя Елинск сказал:

Новые логи надо прикрепить ?

 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {758409c7-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {75840a07-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-2013767568-2486975643-598517991-1001\...\MountPoints2: {75840a76-f648-11eb-9b33-022473760509} - "E:\Install MegaFon Internet.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0917e41f-ecdc-4215-b8bc-24af70978071} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {1735e323-707b-4ad2-8bc2-b6089fa5d32e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {1959000e-a702-4cfc-a58e-6f69f2386d8d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {3A2EAEFA-64DA-420F-82B7-54A8AE5BE3F1} - \Microsoft\Windows\MasterDataU\KGxuFGBn1BHRCA -> Нет файла <==== ВНИМАНИЕ
    Task: {3fc304af-1f25-4d4e-8dff-5d30d3a67085} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {52B67D7E-3992-421C-98CE-8BF611FCF2AA} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
    Task: {6c18dc26-933c-4d4b-902b-219f69cca6a8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {B87D05B4-5E6C-4A33-9535-86D282A4FD04} - \Microsoft\Windows\WindowsBackup\MasterData -> Нет файла <==== ВНИМАНИЕ
    Task: {DB73062E-3709-4DD5-91ED-0984234E3049} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
    Task: {EEF1FB27-8305-4BDA-943A-E09165E12694} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
    Task: {f336eeb6-b222-4f0d-b81b-98d3dd4e3453} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    Task: {FB0D8CB4-5206-4C53-B275-F4DA7F46E5B9} - \Microsoft\Windows\WindowsBackup\CleanCash -> Нет файла <==== ВНИМАНИЕ
    Task: {fbaacc16-5dec-4ca9-979a-b74bf494fa88} - отсутствует путь к файлу. <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-2013767568-2486975643-598517991-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    2023-10-19 22:11 - 2023-10-19 22:11 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
    2023-10-19 22:11 - 2023-10-19 22:11 - 000000000 __SHD C:\ProgramData\princeton-produce
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Да, вы все выполнили верно. Еще один небольшой скрипт выполните в безопасном режиме.

 

  •  
  • Выделите следующий код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gulyeza
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • OLEGGih
      Автор OLEGGih
      Здравствуйте. Антивирус ругается на conhost trojan multi agent gen. При лечении с перезагрузкой удалить не может. Установлен Kaspersky Free. Помогите пожалуйста
      CollectionLog-2025.03.11-15.09.zip
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • zelserg
      Автор zelserg
      Постоянно выскакивает окно, что найден вирус. Но где он сидит неясно и лечение не помогает.
      CollectionLog-2025.02.02-19.00.zip
    • RuslanSaetov
      Автор RuslanSaetov
      Здравствуйте! Одним прекрасным днем компьютер выдает сообщение SERVER LOCKED Contact by email: dhelp@mailfence.com or Telegram @Dchelp.
      При подключении диска к другому компу, диск C отображает файловую систему raw и просит отформатировать. Программой GetDataBack 5 нашел файловую систему и сами файлы. Большинство файлов открываются нормально, но кроме тяжелых 30Gb+. Сами файлы с виду не зашифрованы. Нужны базы SQL.
      В папке tmp нашел исполняемые файлы. Можно ли с этими данными как-то наладить MFT?
      пароль на архив virus 

      DHELP.zip
×
×
  • Создать...