Неудаляемый вирус.

[вася1525]

Нужна помощь против неудаляемого вируса.Форматирование диска,установка по новой системы не помогает.Да при попытке через консоль выполнить команду-attributes dick clear readonly пишет,что невозможно очистить атрибуты диска.Утилита AVZ при запуске ничего не находит,а в DOS находит.Zemana Antimalvare находитдва вида вирусов-Trojan win32/MalDrooper OnClikAds и AdwareWin32/FeedSonic Search.Просьба знакомым с такой проблемой помочь. Заранее благодарен.

CollectionLog-2023.11.19-01.09.zip

 

Сообщение от модератора kmscom

Тема перемещена из раздела Компьютерная помощь 

 

[SQ]

Здравствуйте,
 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[вася1525]

Всё сделал. 

архив.rar

[SQ]

В логах замечена следующая директория:
 

2023-11-20 04:42 - 2023-11-20 04:42 - 000000000 __SHD C:\found.000

Проверьте диск на ошибки (chkdsk /f).



Закройте и сохраните все открытые приложения.

1. Выделите следующий код::

   Start::
   SystemRestore: On
   CreateRestorePoint:
   HKU\S-1-5-21-3657101794-413142510-1267761866-1001\...\Run: [electron.app.BlueStacks Services] => C:\Users\вася\AppData\Local\Programs\bluestacks-services\BlueStacksServices.exe --hidden (Нет файла)
   GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Task: {5CBB6EC0-838B-4DC5-8A61-09B0664EE6A8} - \Auslogics\Anti-Malware\Scan with optional clean -> Нет файла <==== ВНИМАНИЕ
   Task: {79DB13D1-E4CB-4129-B14A-8F68A6254A3B} - System32\Tasks\AMHelper => "C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe"  /UPDATE (Нет файла)
   Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
   Virustotal: C:\Program Files\StartAllBack\UpdateCheck.exe
   Tcpip\..\Interfaces\{02e9c735-61df-4ac2-8161-576faa38ef7b}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{459cee09-7774-4205-98a4-cd8b88f5cc5c}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{77541189-baeb-4fbf-bc20-4ad1c2605b60}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{912c6c5c-8674-11ee-905f-806e6f6e6963}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{95787472-50fb-490a-bb2e-87fe5a3bafe1}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{dfe285b4-951f-d927-eebf-64b8d89d948a}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{f97a4daf-fdf0-485d-aef9-0762b9e8bb3a}: [NameServer] 0.0.0.0
   CMD: type C:\Windows\SafeMode.vbs
   ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   End::

    

2. Скопируйте выделенный текст (правой кнопкой - Копировать).
3. Запустите FRST/FRST64 (от имени администратора).
4. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
5. Обратите внимание, что компьютер будет возможно перезагружен.

[вася1525]

2 часа назад, SQ сказал:

В логах замечена следующая директория:
 

2023-11-20 04:42 - 2023-11-20 04:42 - 000000000 __SHD C:\found.000

Проверьте диск на ошибки (chkdsk /f).



Закройте и сохраните все открытые приложения.

1. Выделите следующий код::

   
   Start::
   SystemRestore: On
   CreateRestorePoint:
   HKU\S-1-5-21-3657101794-413142510-1267761866-1001\...\Run: [electron.app.BlueStacks Services] => C:\Users\вася\AppData\Local\Programs\bluestacks-services\BlueStacksServices.exe --hidden (Нет файла)
   GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Task: {5CBB6EC0-838B-4DC5-8A61-09B0664EE6A8} - \Auslogics\Anti-Malware\Scan with optional clean -> Нет файла <==== ВНИМАНИЕ
   Task: {79DB13D1-E4CB-4129-B14A-8F68A6254A3B} - System32\Tasks\AMHelper => "C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe"  /UPDATE (Нет файла)
   Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
   Virustotal: C:\Program Files\StartAllBack\UpdateCheck.exe
   Tcpip\..\Interfaces\{02e9c735-61df-4ac2-8161-576faa38ef7b}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{459cee09-7774-4205-98a4-cd8b88f5cc5c}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{77541189-baeb-4fbf-bc20-4ad1c2605b60}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{912c6c5c-8674-11ee-905f-806e6f6e6963}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{95787472-50fb-490a-bb2e-87fe5a3bafe1}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{dfe285b4-951f-d927-eebf-64b8d89d948a}: [NameServer] 0.0.0.0
   Tcpip\..\Interfaces\{f97a4daf-fdf0-485d-aef9-0762b9e8bb3a}: [NameServer] 0.0.0.0
   CMD: type C:\Windows\SafeMode.vbs
   ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} =>  -> Нет файла
   End::

    

2. Скопируйте выделенный текст (правой кнопкой - Копировать).
3. Запустите FRST/FRST64 (от имени администратора).
4. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
5. Обратите внимание, что компьютер будет возможно перезагружен.

 

Fixlog.txt

Всё сделал.После перезагрузки ПК ничего не изменилось.При входе на сайт nnm club  открывает страницу с рекламой сайта Розетка.ua.

Fixlog.txt

[SQ]

Сообщите пожалуйста, если это во всех браузерах воспроизводится

[вася1525]

Нет.В браузере Edge есть,а в браузере Яндекс всегда выскакивает такой банер.Скриншот прилагается.

[SQ]

Уточните пожалуйста если Edge браузер синхронизирован?

[вася1525]

Нет.

 

Только что утилита AV_block_remover собрала кучу зараженных файлов,а при попытке удалить майнер ПК ушел в перезагрузку.Файл карантина всавляю-может вам нужен.

quarantine.zip

[SQ]

Карантин пустой, указанная утилита нужно только для определенного майнера, ууточните в итоге проблема решена?

[вася1525]

Нет .Проблема не решена.

[Sandor]

Уточните, пожалуйста - проблема только с нежелательной рекламой в браузере Edge?

 

19.11.2023 в 14:09, вася1525 сказал:

Zemana Antimalvare находитдва вида вирусов-Trojan win32/MalDrooper OnClikAds и AdwareWin32/FeedSonic Search

В каких файлах находит, можете написать или показать скриншот?

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[вася1525]

Вся проблема заключается в том,что вирус сидит где-то в

месте где его не достать.Я уже писал,что переустановка ОС,форматирование ssd не дают результата.При установке новой ос всё возвращается по новой.Куда мог пробрался вирус и  как найти его и есть главная задача.Скриншот вирусов-Trojan win32/MalDrooper OnClikAds и AdwareWin32/FeedSonic Search весит более 5мв.Как его выслать подскажите?

Новая папка.rar

 

https://disk.yandex.ru/d/46jVY1X8UXEK7A -Ссылка на скриншот "Zemana Antimalvare находитдва вида вирусов-Trojan win32/MalDrooper OnClikAds и AdwareWin32/FeedSonic Search".

 

И да, хочу добавить.Также устанавливал ОС от Линус,Mint,Parrot Security,убунту и пр.Всё тоже самое , что и  Виндовс.

[SQ]

Здравствуйте,

Согласно вашим скриншотам антивирус Zemana так реагирует на расширение uBlock Origin, это ложное срабатывание, не только вы одни сталкиваетесь с этим.

YAN Extension: (uBlock Origin) - C:\Users\вася\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2023-11-19]

Что касается cookies вы их можете настроить (разрешить или запретить в настройках браузера).
 https://yandex.ru/support/browser/personal-data-protection/cookies.html

[Sandor]

13 часов назад, вася1525 сказал:

вирус сидит где-то в месте где его не достать.

И всё же это не описание проблемы. Пожалуйста, опишите подробнее как проявляет себя "вирус"? Замедление работы системы, программ, реклама или что-то другое?

Не исключено, что на предоставленных скриншотах ложное срабатывание.

 

Несколько установленных в системе антивирусов не усиливают, а снижают безопасность.

На время лечения, пожалуйста, деинсталлируйте их все:

Цитата

 

GridinSoft Anti-Malware

Panda Dome

Zemana AntiMalware, версия 3.2.28

 

 

Сделайте полную проверку системы с помощью KVRT.

Папку C:\KVRT2020_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.