[РЕШЕНО] PDM:Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a

[Lemmy]

Скачал "Excel" теперь периодически прилетает репорт от Касперского. Помогите удалить этот вирус

eeeee.txt

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Lemmy]

Прилагаю файл с логами 

CollectionLog-2024.05.10-17.26.zip

[Sandor]

Система оригинальная или сборка?

 

Аккуратно упакуйте в архив файл

C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat

и прикрепите к следующему сообщению.

[Lemmy]

оригинал была, ключом активировал
ass.rar

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Lemmy]

Addition.txtFRST.txtПрикрепил файлы

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Adobe Flash Player 20 NPAPI

Adobe Flash Player 21 PPAPI

Bitdefender Agent

Bonjour

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-888704959-3754381667-2185012074-1001\...\Policies\system: [EnableLUA] 0
  HKU\S-1-5-21-888704959-3754381667-2185012074-1001\...\MountPoints2: {a567fb9b-aecb-11ed-8ef9-6045cba75579} - "E:\setup.exe" 
  IFEO\GoogleUpdate.exe: [Debugger] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
  IFEO\MicrosoftEdgeUpdate.exe: [Debugger] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
  IFEO\MoUsoCoreWorker.exe: [Debugger] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
  IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
  HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
  IFEO\TrustedInstaller.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
  HKLM\...\SilentProcessExit\TrustedInstaller.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {CD8153E7-1DC5-43D0-B78C-F757219A471C} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_182_pepper.exe [1164992 2022-11-04] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
  Task: {9ECE6EDD-F6E1-44C4-9355-98AAB5F99805} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [269504 2022-11-04] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
  Task: {A3434C7F-33A5-4F43-B00D-F270D878EC66} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\27.0.1.266\WatchDog.exe [1111184 2023-12-12] (Bitdefender SRL -> Bitdefender) -> C:\Program Files\Bitdefender Agent\27.0.1.266\repair
  Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
  Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
  C:\Users\melni\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
  CHR DefaultSearchKeyword: Default -> mcafee
  C:\Users\melni\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\melni\AppData\Local\Google\Chrome\User Data\Default\Extensions\kadaohckdkghfaclhjmkmplebcdcnfnp
  C:\Users\melni\AppData\Local\Google\Chrome\User Data\Default\Extensions\okfpdiodfgelefigokgkhfbeaiblajld
  CHR HKU\S-1-5-21-888704959-3754381667-2185012074-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=01
  CHR HKU\S-1-5-21-888704959-3754381667-2185012074-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
  U5 1DLvYI1HMg0RzSmU; C:\Users\melni\AppData\Local\Temp\1DLvYI1HMg0RzSmU [17480 2024-05-01] (Microsoft Windows Hardware Compatibility Publisher -> ) <==== ВНИМАНИЕ
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534464 2024-04-10] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-04-10] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2023-12-13] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3436544 2024-04-10] (Microsoft Windows -> Microsoft Corporation)
  R4 WinRing0_1_2_0; C:\WINDOWS\TEMP\lrhbywmbjicr.sys [14544 2024-05-11] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
  AlternateDataStreams: C:\WINDOWS\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\agent.1665828286.bdinstall.v2.bin:8091ED7BE4 [3442]
  AlternateDataStreams: C:\ProgramData\agent.update.1704462358.bdinstall.v2.bin:A402F0D6C9 [3442]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
  AlternateDataStreams: C:\ProgramData\driverdvd.log:E184EA19F1 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{7a422afe-1b1e-11ed-8dd5-6045cba75579}.TM.blf:B7E63C58D0 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{7a422afe-1b1e-11ed-8dd5-6045cba75579}.TMContainer00000000000000000001.regtrans-ms:2A1071D061 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{7a422afe-1b1e-11ed-8dd5-6045cba75579}.TMContainer00000000000000000002.regtrans-ms:7D7DC1B152 [3442]
  AlternateDataStreams: C:\ProgramData\setupact.log:33C892789A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom Classic.lnk:18E2F37545 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Classic FTP File Transfer Software.lnk:9F727DDA3F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Doxillion Document Converter.lnk:8EE6E08816 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [3442]
  AlternateDataStreams: C:\Users\melni\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\melni\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\melni\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\melni\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6388]
  FirewallRules: [{781C5C92-AE0C-4697-B510-64E519BA440E}] => (Allow) LPort=475
  FirewallRules: [{36969FF6-FE85-4B59-A8C7-96571E7DE5C1}] => (Allow) LPort=475
  FirewallRules: [{74C23351-5528-4F5D-92F4-C0348135FDCD}] => (Allow) LPort=1688
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него четыре reg-файла.

Запустите каждый и согласитесь с внесением изменений в реестр.

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Изменено 12 мая, 2024 пользователем Sandor

[Lemmy]

FSS.txtВ FSS не включены те галочки, которые должны, вручную не получается включить данные службы.

Fixlog.txt

Изменено 12 мая, 2024 пользователем Lemmy

[Lemmy]

ну и до сих пор приходит уведомление от касперского

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat]
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl sportjump.ru 5151 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\utshellext.dll]
FirewallRules: [{1AEA290F-DD1B-4780-B2C4-42B0DE849765}] => (Allow) D:\Games\Red Dead Redemption 2 by xatab\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{B8794AAD-2101-433B-A2E3-30B0D07680B9}] => (Allow) D:\Games\Red Dead Redemption 2 by xatab\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{8C47F3AA-8BF5-4890-91D1-BC0392053EC6}] => (Allow) C:\Users\melni\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{74C33C61-2E12-413F-8717-7F3FBA47D9DB}] => (Allow) C:\Users\melni\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{564BF91F-9B3C-4350-8F6A-6B8031AA1953}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9817665B-37DC-4566-8ADF-5E34E76092FE}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{AAD595BE-CE37-4499-A421-8514D2213A16}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BFF923B0-A3BB-4A7D-9C79-661B268312BB}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

5 часов назад, Lemmy сказал:

В FSS не включены те галочки, которые должны, вручную не получается включить данные службы.

 

 

10 часов назад, Sandor сказал:

Скачайте этот архив, извлеките из него четыре reg-файла.

Запустите каждый и согласитесь с внесением изменений в реестр.

Перезагрузите компьютер.

Делали перед запуском FSS?

 

 

[Lemmy]

да, делал
галочки не стоят

Fixlog.txt

[thyrex]

Ошибки в записях служб в файле FSS это не подтверждают. Разархивируйте повторно, запустите каждый из reg-файлов и подтвердите внесение информации в реестр.

 

После выполните присланный мной скрипт для Farbar, затем пришлите новые логи FRST.txt и Addition.txt, предварительно удалив старые.

[Lemmy]

Тот который отправлен чуть выше? Или который был отправлен давно? скрипт нужен

[thyrex]

Тот, который отправлял я