[РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить

[noname543]

Насчёт проверка других компьютеров в сети: один из них я проверил через KVRT и Adwcleaner и там ничего не нашло, я также проверил файлы в таких же папках в которых у меня находится вирус, к другим компьютерам пока что у меня нету доступа, тк они не мои, сейчас все компьютеры выключены и отключены от роутера. Я подключился к нему через wifi со своего ноутбука и минут через 10 вирус опять появился в тех же местах.

SecurityCheck.txt

 

Попытался сбросить роутер до заводских настроек, также не помогло к нему подключен только мой телефон и ноутбук по wifi. Также появляется вирус на пк. Проверил всё компьютеры нигде больше нету вирусов. Только у меня на ноутбуке.
К роутеру после сброса до заводских никакие пк кроме моего ноутбука и телефона не подключались.

 

Я отключился от роутера и полностью выключил его. Подключился к своему телефону к точке доступа и раздал свой мобильный интернет и вирус опять появился на ноутбуке.

 

Единственно что я понял вирус также переустанавливается после перезапуска ноутбука и перезапуск системы так и длится минут 5.

[noname543]

Вот ещё видно что сразу же после запуска пк появляются эти файлы

 

Кажется нашёл. Если отключить в таске эту задачу, то файлы с вирусом не появляются. После того как я принудительно запускаю данный таск, файлы с вирусом сразу появляются

 

[Sandor]

Файл

C:\ProgramData\MicrosoftTool\current\Microsoft.exe

загрузите на virustotal.com и дайте ссылку на результат анализа.

[noname543]

https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

 

 

Ещё заметил что данная папа была создана именно в то время когда впервые вирус показал себя

[Sandor]

Как-то странно, изменилось имя файла и размер нулевой

Соберите, пожалуйста, новые логи FRST.txt и Addition.txt

[noname543]

Это наверное потому что я из архива сканировал файл этот. Вот нормальный скан 

https://www.virustotal.com/gui/file/d92a807c26a60b9d617a062a8cda9ef61692209d85f65f520b59266024f72736

[Sandor]

А почему имя файла Teams.exe, а не Microsoft.exe?

Впрочем, не важно. Делайте новые логи.

[noname543]

На virustotal я закидываю файл с названием Microsoft.exe не знаю почему там он подписывается как Teams.exe

 

Какие логи мне ещё раз делать ?

[Sandor]

15 минут назад, Sandor сказал:

Соберите, пожалуйста, новые логи FRST.txt и Addition.txt

Эти.

[noname543]

FRST.txtAddition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {44FB2622-67AD-439E-9B85-0C2D0678B45F} - System32\Tasks\BfeOnServiceStartTypeChange => C:\ProgramData\MicrosoftTool\current\Microsoft.exe  (Нет файла)
  Folder: C:\ProgramData\MicrosoftTool\current\
  Folder: C:\ProgramData\MicrosoftTool\
  2024-03-20 23:40 - 2024-03-22 11:06 - 000000000 ____D C:\ProgramData\MicrosoftTool
  2024-03-20 23:40 - 2024-03-22 00:00 - 000003686 _____ C:\Windows\system32\Tasks\BfeOnServiceStartTypeChange
  2024-03-20 23:40 - 2024-03-20 23:40 - 000584704 _____ (Igor Pavlov) C:\ProgramData\7zr.exe
  2024-03-20 23:40 - 2024-03-20 23:40 - 000000009 _____ C:\ProgramData\lock.ddmb
  2024-03-20 23:40 - 2024-03-20 23:40 - 000000000 ____D C:\Users\serge\AppData\Roaming\Teams
  2024-03-20 23:40 - 2024-03-20 23:40 - 000000000 ____D C:\Users\serge\AppData\Roaming\lzoizxngchztfecq
  HKU\S-1-5-21-526150283-3546483098-1052405504-1001\Software\Classes\exefile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-526150283-3546483098-1052405504-1001\Software\Classes\.exe: exefile =>  <==== ВНИМАНИЕ
  FirewallRules: [{BF7D364B-366D-41B9-A3ED-A86869162E5B}] => (Allow) C:\Users\serge\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  FirewallRules: [{3EC10EDF-B0CA-47C1-8B31-29098DC45E4B}] => (Allow) C:\Users\serge\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
  FirewallRules: [{F1BFD285-1A55-4E4A-85F4-C262FE5EC8E7}] => (Allow) C:\Users\serge\Downloads\PassFab_iPhone_Unlocker_windows_v2.6.7.0.exe => Нет файла
  FirewallRules: [{B6171F2E-C195-47BA-BBC6-2F5AFCBA04B2}] => (Allow) C:\Users\serge\Downloads\PassFab_iPhone_Unlocker_windows_v2.6.7.0.exe => Нет файла
  FirewallRules: [{616DEC45-1231-499A-BE77-D80A0AF4CF74}] => (Allow) C:\Users\serge\Downloads\reiboot.exe => Нет файла
  FirewallRules: [{1CEDBC7E-7DC6-4D29-AFA8-82CA19CE1A96}] => (Allow) C:\Users\serge\Downloads\reiboot.exe => Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[noname543]

Fixlog.txt

[Sandor]

Папку C:\FRST\Quarantine упакуйте с паролем. Выложите на облако, а ссылку и пароль передайте мне личным сообщением.

 

Понаблюдайте за поведением системы.

[noname543]

Залил на DropBox
[ссылка]
У меня также есть ссылка на файл который я скачивал и после его запуска появился вирус, скинуть?
Получается теперь можно считать что вируса нету ?

Изменено 22 марта пользователем Sandor
Убрал ссылку

[Sandor]

Я ведь просил личным сообщением. И вы не дали пароль.

Можете его уже здесь написать.