HEUR:Trojan.MSIL.Inject.gen

[Ressos]

Касперский удаляет по несколько раз на дню

[Ressos]

После удаления батники всё равно падают в системный диск и при сканировании другой прог. выдаёт информацию что прописался якобы в реестре,но при помещении в карантин всё равно не помогает,но батники при нахождении файлов в карантине по крайней мере не падают на диск

CollectionLog-2024.06.10-15.05.zip

Изменено 10 июня пользователем Ressos

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\joke-staff\bin.exe', '');
 QuarantineFile('C:\ProgramData\MicrosoftTool\current\Microsoft.exe', '');
 QuarantineFile('C:\Users\Кирилл\AppData\Local\Programs\7cb4d19570a66f\0acedd688d.msi', '');
 QuarantineFile('C:\Users\Кирилл\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\ComSvcConfig.exe', '');
 DeleteSchedulerTask('BfeOnServiceStartTypeChange');
 DeleteSchedulerTask('csv-export-S-1-5-21-2531719061-2579452323-3826852713-1001');
 DeleteSchedulerTask('DobeDiscovery');
 DeleteSchedulerTask('Symantec Endpoint Protection\Symantec Endpoint Protection Autofix');
 DeleteSchedulerTask('Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer');
 DeleteSchedulerTask('visible-unlike');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\joke-staff\bin.exe', '64');
 DeleteFile('C:\ProgramData\MicrosoftTool\current\Microsoft.exe', '64');
 DeleteFile('C:\Users\Кирилл\AppData\Local\Programs\7cb4d19570a66f\0acedd688d.msi', '64');
 DeleteFile('C:\Users\Кирилл\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\ComSvcConfig.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Ressos]

Ошибка: Undeclared indentifer: "DeleteSchedulerTask" в позиции 10:21

 

 

Разобрался

CollectionLog-2024.06.10-17.24.zip

При повторной проверки ,первая открывшиеся программа при завершении выдала данную ошибку только. После чего запустилась  вторая и отсканировала

В прошлый раз было тоже самое ,я думаю так и задумано )

 

 

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Ressos]

.

 

Addition.txt FRST.txt

Изменено 11 июня пользователем Ressos

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {E2E03FFC-F87D-417B-AFA8-7FEDB8F9D965} - System32\Tasks\MsCftMonitor => C:\Users\Кирилл\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs\aitstatic.exe  (Нет файла)
  Task: {517C5E99-8336-4C34-A1D2-843C0B4FB52A} - System32\Tasks\Symantec Endpoint Protection\Symantec Endpoint Protection Error Processor => C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.3.3580.1100.105\Bin\SymErr.exe  /submit (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
  2024-06-09 16:48 - 2024-06-09 16:48 - 000000000 ____D C:\Users\Кирилл\AppData\Local\Symantec
  2024-06-09 16:44 - 2024-06-10 17:15 - 000000000 ____D C:\Windows\system32\Tasks\Symantec Endpoint Protection
  2024-06-09 16:42 - 2024-06-10 02:11 - 000000000 ____D C:\ProgramData\Symantec
  2024-06-09 16:36 - 2024-06-09 16:47 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
  2024-06-09 16:36 - 2024-06-09 16:40 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
  2024-06-09 16:36 - 2024-06-09 16:36 - 000000000 ____D C:\ProgramData\GridinSoft
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\ProgramData\Setup
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\Program Files\RDP Wrapper
  2024-05-21 22:11 - 2024-05-21 22:11 - 000000000 _RSHD C:\Program Files (x86)\360
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5138]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC 32-bit.lnk:95EB957F39 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC 64-bit.lnk:BCB5A38A14 [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller DC 32-bit.lnk:08C542B86F [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller DC 64-bit.lnk:51850F2BE6 [5138]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2022.lnk:F7B133A22A [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Animate 2022.lnk:C1C5BE5DE8 [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Audition 2022.lnk:3B484DA981 [5138]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Bridge 2022.lnk:0A4C07F73D [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Character Animator 2022.lnk:551A598291 [5138]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Dimension.lnk:5E8D08BF30 [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Dreamweaver 2021.lnk:9E737BDB02 [5138]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2022.lnk:0BBB729577 [5986]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe InCopy 2022.lnk:6785515AFF [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe InDesign 2022.lnk:79AC8C9738 [4290]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4030]
  AlternateDataStreams: C:\Users\Кирилл\Application Data:48e63d4de0a63256000858a7c61c87df [394]
  AlternateDataStreams: C:\Users\Кирилл\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ressos]

Только поторопился и вставил скрипт именно в программу Fabrar в строку поиска,но судя по логу всё прошло успешно

 

Fixlog.txt

Изменено 12 июня пользователем Ressos

[Sandor]

Вставлять никуда не нужно было, скрипт выполнился из буфера обмена.

 

Ещё один выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\"
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWOW64"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\drivers\etc\hosts"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Сообщите что с проблемой.

[Ressos]

Fixlog.txt

[Sandor]

1 час назад, Sandor сказал:

что с проблемой

??

[Ressos]

Батники более не появляются,касперский не ругается,просканирую систему той программой,которая нашла проблемные зоны.А так заранее благодарен предоставленной помощи.(огромное восхищение от вашей работы)

 

 

Выдаёт файлы,но они себя никак не проявляют,так что думаю всё хорошо,имею ввиду первые 4

 

[Sandor]

Те четыре позиции с пометкой "Вредоносное ПО" удалите. Перезагрузите компьютер и проверьте будут ли они снова обнаружены.

 

Если не будут, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ressos]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.6.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления
AnyDesk 2.5.26 v.2.5.26 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.89.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9008 Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.47116 Внимание! Клиент сети P2P с рекламным модулем!.
Adobe Acrobat DC (64-bit) v.22.001.20142 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Adobe Acrobat DC v.22.001.20142 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Yandex v.24.4.2.885 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.125.0.6422.176 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

 

---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО