[РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить

[noname543]

Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.

[noname543]

Прикладываю проверку AdwCleaner + Farbar. Также в автозагрузке появились странные приложения, правда я не знаю были ли они там до этого.

AdwCleaner[S01].txt Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Начните, пожалуйста, с отчётов по правилам раздела - Порядок оформления запроса о помощи

[noname543]

2 часа назад, Sandor сказал:

Здравствуйте!

 

Начните, пожалуйста, с отчётов по правилам раздела - Порядок оформления запроса о помощи

 

CollectionLog-2024.03.21-15.30.zip

 

Прямо сейчас данные файлы опять установились в ту папку

[Sandor]

Пока не вижу в логах ничего плохого, в т.ч. в первых.

 

Установите и сделайте проверку Malwarebytes.

[noname543]

Malwarebytes Отчет о проверке 2024-03-21 135227.txt

[Sandor]

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[noname543]

Только что вот kaspersky обнаружил ещё один уже даже в другом расположении. Вот ещё достал код из .bat файла

 

Изменено 21 марта, 2024 пользователем Sandor
Убрал вложение

[Sandor]

Не нужно в открытом доступе публиковать вредоносные скрипты.

У вас компьютер домашний, к локальной сети компьютеров подключен?

[noname543]

11 минут назад, Sandor сказал:

Удалять ничего не нужно.

IOBit Driver Booster v11.2.0.46 - деинсталлируйте, как нежелательное ПО.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

SERR5555_2024-03-21_17-10-40_v4.15.1.7z

[Sandor]

10 минут назад, Sandor сказал:

У вас компьютер домашний, к локальной сети компьютеров подключен?

На этот вопрос ответьте, пожалуйста.

[noname543]

2 минуты назад, Sandor сказал:

На этот вопрос ответьте, пожалуйста.

Да, подключён к локальной сети

Ну у меня ноутбук который подключён к моему роутеру через wifi, а к нему подключены по lan кабелю ещё 3 компьютера

Изменено 21 марта, 2024 пользователем noname543

[Sandor]

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv11.0
   v400c
   OFFSGNSAVE
   zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
   ;---------command-block---------
   delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
   delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
   delref E:\HISUITEDOWNLOADER.EXE
   delref D:\TORRENT
   apply
   
   czoo
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Изменено 21 марта, 2024 пользователем Sandor

[noname543]

29 минут назад, Sandor сказал:

Нужно лечить остальные компьютеры, например, с помощью KVRT. Это сетевой червь.

Последовательно каждый отключайте от локалки, пролечите и подключайте только после проверки и лечения всех.

 

Здесь:

IOBit Driver Booster по-прежнему в списке установленных. Удалите.

 

Далее:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   
   ;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv11.0
   v400c
   OFFSGNSAVE
   zoo %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
   ;---------command-block---------
   delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\B.BAT
   delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
   delref E:\HISUITEDOWNLOADER.EXE
   delref D:\TORRENT
   apply
   
   czoo
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Мне нужно из папки zoo отправлять вам что-либо ?

[Sandor]

Нет, не обязательно. И не нужно полностью цитировать предыдущее сообщение, пишите в нижнем поле быстрого ответа.

Сообщите результат проверки/лечения остальных компьютеров сети.

 

Здесь:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.