Не удаляется троян

[sk1t3z]

Trojan:Win32/Sabsik!mclg

Нажимаю удалить в антивирусе виндовс 10 и ничего не происходит, проверял компьютер двумя программами, следовал вот этому гайду, не помогло

https://forum.kasperskyclub.ru/topic/43640-porjadok-oformlenija-zaprosa-o-pomoshhi/

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[sk1t3z]

у меня не скачивается автологгер, пишет что вирус обнаружен, как это сделать?

 

 

как называется папка, которую надо скинуть?

CollectionLog-2024.02.20-20.04.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\provided-processor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\Деинсталлировать provided-processor.lnk', '');
 QuarantineFile('C:\ProgramData\proof-ports\bin.exe', '');
 QuarantineFile('C:\ProgramData\VkontakteDJ\VKontakteDJ.exe', '');
 QuarantineFile('C:\Users\elite\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\provided-processor.lnk', '');
 DeleteSchedulerTask('provided-processor');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\provided-processor.lnk');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\Деинсталлировать provided-processor.lnk');
 DeleteFile('C:\ProgramData\proof-ports\bin.exe', '64');
 DeleteFile('C:\ProgramData\VkontakteDJ\VKontakteDJ.exe', '64');
 DeleteFile('C:\Users\elite\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\provided-processor.lnk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[sk1t3z]

сделал всё как вы сказали

Addition.txtFRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\elite\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> search-cdn.net
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\elite\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2020-06-07] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
  FF Extension: (Поиск Mail.Ru) - C:\Users\elite\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2020-06-07] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
  CHR HKU\S-1-5-21-2048685118-1481372326-2947169690-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  2024-02-16 22:02 - 2020-06-07 11:32 - 000000000 ____D C:\Users\elite\AppData\Local\Browserupdphenix
  AlternateDataStreams: C:\ProgramData\55.zip:E9BEA6C937 [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log:8A1F56CED6 [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log_backup1:A473474DD2 [3442]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [3442]
  AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log:AAE9D2281E [3442]
  AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log_backup1:E79F04DA79 [3442]
  AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [3442]
  AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1:A416BDA264 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [3442]
  AlternateDataStreams: C:\Users\elite\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\elite\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[sk1t3z]

Fixlog.txt

[Sandor]

Не нужно было дважды выполнять скрипт, отчёт перезаписался. Но не страшно.

Удалите все лишние исключения Защитника и сообщите решена ли проблема.

[sk1t3z]

удалил все исключения, проблема та же

третий скрин это результат того, что происходит после нажатия кнопки «запуск действий» на втором скриншоте

[Sandor]

Дата обнаружения - 10-ти дневной давности. Файла, предположу, реально уже нет.

Можно ещё некоторое время (неделю) подождать и запись должна исчезнуть.

 

Если хотите, период очистки таких уведомлений можем сократить.

[sk1t3z]

уже вот и так жду много дней, не исчезает, как период очистки таких уведомлений сократить?

просто реально сильно раздражает этот красный крестик рядом с защитником, такое ощущение что что-то не так

[Sandor]

Выполните такой скрипт:

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 3
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.