Перейти к содержанию
Правила раздела

[РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить

noname543

От noname543
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

noname543 Постоялец

noname543

Опубликовано
Опубликовано

Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.

Screenshot_3.png

Screenshot_4.png

Screenshot_5.png

Screenshot_6.png

Screenshot_7.png

Screenshot_8.png

Screenshot_9.png

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

  • noname543

    22

  • Sandor

    19

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor
Sandor

Явных признаков этого не замечено. Но не лишним будет сменить важные пароли.   В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Уд

noname543
noname543

Хорошо, спасибо за помощь!  

Posted Images

noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано

Прикладываю проверку AdwCleaner + Farbar. Также в автозагрузке появились странные приложения, правда я не знаю были ли они там до этого.

Screenshot_1.png

AdwCleaner[S01].txt Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Начните, пожалуйста, с отчётов по правилам раздела - Порядок оформления запроса о помощи

 

CollectionLog-2024.03.21-15.30.zip

 

Прямо сейчас данные файлы опять установились в ту папку

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты
noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано (изменено)

Только что вот kaspersky обнаружил ещё один уже даже в другом расположении. Вот ещё достал код из .bat файла

Screenshot_10.png

Screenshot_11.png

Screenshot_12.png

 

Изменено пользователем Sandor
Убрал вложение
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно в открытом доступе публиковать вредоносные скрипты.

У вас компьютер домашний, к локальной сети компьютеров подключен?

Ссылка на комментарий
Поделиться на другие сайты
noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано
11 минут назад, Sandor сказал:

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

SERR5555_2024-03-21_17-10-40_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
10 минут назад, Sandor сказал:

У вас компьютер домашний, к локальной сети компьютеров подключен?

На этот вопрос ответьте, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано (изменено)
2 минуты назад, Sandor сказал:

На этот вопрос ответьте, пожалуйста.

Да, подключён к локальной сети

Ну у меня ноутбук который подключён к моему роутеру через wifi, а к нему подключены по lan кабелю ещё 3 компьютера

Изменено пользователем noname543
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
;---------command-block---------
delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
delref E:\HISUITEDOWNLOADER.EXE
delref D:\TORRENT
apply

czoo
deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
noname543 Постоялец

noname543

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    
;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
;---------command-block---------
delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
delref E:\HISUITEDOWNLOADER.EXE
delref D:\TORRENT
apply

czoo
deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Мне нужно из папки zoo отправлять вам что-либо ?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нет, не обязательно. И не нужно полностью цитировать предыдущее сообщение, пишите в нижнем поле быстрого ответа.

Сообщите результат проверки/лечения остальных компьютеров сети.

 

Здесь:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

×
×
  • Создать...