Перейти к содержанию

Не удаляется троян


Рекомендуемые сообщения

Trojan:Win32/Sabsik!mclg

Нажимаю удалить в антивирусе виндовс 10 и ничего не происходит, проверял компьютер двумя программами, следовал вот этому гайду, не помогло

https://forum.kasperskyclub.ru/topic/43640-porjadok-oformlenija-zaprosa-o-pomoshhi/

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

у меня не скачивается автологгер, пишет что вирус обнаружен, как это сделать?

 

 

как называется папка, которую надо скинуть?

CollectionLog-2024.02.20-20.04.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\provided-processor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\Деинсталлировать provided-processor.lnk', '');
 QuarantineFile('C:\ProgramData\proof-ports\bin.exe', '');
 QuarantineFile('C:\ProgramData\VkontakteDJ\VKontakteDJ.exe', '');
 QuarantineFile('C:\Users\elite\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\provided-processor.lnk', '');
 DeleteSchedulerTask('provided-processor');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\provided-processor.lnk');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plastics-plains\Деинсталлировать provided-processor.lnk');
 DeleteFile('C:\ProgramData\proof-ports\bin.exe', '64');
 DeleteFile('C:\ProgramData\VkontakteDJ\VKontakteDJ.exe', '64');
 DeleteFile('C:\Users\elite\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\provided-processor.lnk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\elite\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    Edge DefaultSearchKeyword: Default -> search-cdn.net
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\elite\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2020-06-07] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
    FF Extension: (Поиск Mail.Ru) - C:\Users\elite\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2020-06-07] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
    CHR HKU\S-1-5-21-2048685118-1481372326-2947169690-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    2024-02-16 22:02 - 2020-06-07 11:32 - 000000000 ____D C:\Users\elite\AppData\Local\Browserupdphenix
    AlternateDataStreams: C:\ProgramData\55.zip:E9BEA6C937 [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log:8A1F56CED6 [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log_backup1:A473474DD2 [3442]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [3442]
    AlternateDataStreams: C:\ProgramData\juutbubq.wrj:C3E58011A3 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [3442]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
    AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log:AAE9D2281E [3442]
    AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log_backup1:E79F04DA79 [3442]
    AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [3442]
    AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1:A416BDA264 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [3442]
    AlternateDataStreams: C:\Users\elite\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\elite\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Не нужно было дважды выполнять скрипт, отчёт перезаписался. Но не страшно.

Удалите все лишние исключения Защитника и сообщите решена ли проблема.

Ссылка на сообщение
Поделиться на другие сайты

удалил все исключения, проблема та же

334905935_2024-02-26174742.thumb.png.661db5d450e5335a9696a302bf213bb5.png

Снимок экрана 2024-02-26 174814.png

Снимок экрана 2024-02-26 174827.png

третий скрин это результат того, что происходит после нажатия кнопки «запуск действий» на втором скриншоте

Ссылка на сообщение
Поделиться на другие сайты

Дата обнаружения - 10-ти дневной давности. Файла, предположу, реально уже нет.

Можно ещё некоторое время (неделю) подождать и запись должна исчезнуть.

 

Если хотите, период очистки таких уведомлений можем сократить.

Ссылка на сообщение
Поделиться на другие сайты

уже вот и так жду много дней, не исчезает, как период очистки таких уведомлений сократить?

924298153_2024-02-26185354.thumb.png.0a27a5a4a2b0c28919b5c3949551bad3.png

просто реально сильно раздражает этот красный крестик рядом с защитником, такое ощущение что что-то не так

Ссылка на сообщение
Поделиться на другие сайты

Выполните такой скрипт:

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    StartPowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -UILockdown 0
    Set-MpPreference -ScanPurgeItemsAfterDelay 3
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    EndPowershell:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...