Нужна помощь в удалении вируса (PuzzleMedia)

[KakoeImyaSdelat 0]

Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста

 

[thyrex 1 418]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

[KakoeImyaSdelat 0]

CollectionLog-2024.11.05-17.11.zip

[thyrex 1 418]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\microsoft\win.exe','');
 DeleteFile('C:\ProgramData\microsoft\win.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[KakoeImyaSdelat 0]

Отправил на почту, но размер слишком большой и он отправился вроде как ссылкой. Через форму отправки кнопка "Отправить" не активна.CollectionLog-2024.11.05-19.56.zip

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[KakoeImyaSdelat 0]

Новая папка (3).7z

[thyrex 1 418]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3006391329-1909060483-3941977353-1001\...\Run: [NZXT.CAM] => C:\Program Files\NZXT CAM\NZXT CAM.exe --startup (Нет файла)
HKU\S-1-5-21-3006391329-1909060483-3941977353-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
HKU\S-1-5-21-3006391329-1909060483-3941977353-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\gordik\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-3006391329-1909060483-3941977353-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\gordik\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
Task: {BEA1B093-74BA-44CD-939F-65CF3782478B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bohmpehhlbemiljmnoonohkcodefjdcm
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dlppogbbpejafffoppimmdfnfpmdjhbe
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ljahhjgnikkahgfjcgcgenddcpakabgg
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpdfamoecdfeeipegdbcjdejdjbfldlo
2024-11-05 13:10 - 2024-11-05 13:10 - 000012795 _____ C:\ProgramData\wqzdwspb.xga
2024-11-05 13:10 - 2024-11-05 13:10 - 000012609 _____ C:\ProgramData\dnykfynq.mtu
2024-11-05 13:09 - 2024-11-05 13:09 - 000012724 _____ C:\ProgramData\vkdigoet.fnw
2024-11-05 13:09 - 2024-11-05 13:09 - 000012581 _____ C:\ProgramData\ctnmsfow.ayr
2024-11-05 19:21 - 2024-11-05 19:21 - 000012785 _____ C:\ProgramData\ewovniqx.sfe
2024-09-24 11:52 C:\Program Files\AVAST Software
2024-09-24 11:52 C:\Program Files\AVG
2024-09-24 11:52 C:\Program Files\Bitdefender Agent
2024-09-24 11:52 C:\Program Files\Cezurity
2024-09-24 11:52 C:\Program Files\COMODO
2024-09-24 11:52 C:\Program Files\DrWeb
2024-09-24 11:52 C:\Program Files\Enigma Software Group
2024-09-24 11:52 C:\Program Files\EnigmaSoft
2024-09-24 11:52 C:\Program Files\ESET
2024-09-24 11:52 C:\Program Files\HitmanPro
2024-09-24 11:52 C:\Program Files\Kaspersky Lab
2024-09-24 11:52 C:\Program Files\Loaris Trojan Remover
2024-08-03 23:06 C:\Program Files\Malwarebytes
2024-09-24 11:52 C:\Program Files\NETGATE
2024-09-24 11:52 C:\Program Files\Process Hacker 2
2024-09-24 11:52 C:\Program Files\Process Lasso
2024-09-24 11:52 C:\Program Files\QuickCPU
2024-09-24 11:52 C:\Program Files\Rainmeter
2024-09-24 11:52 C:\Program Files\Ravantivirus
2024-09-24 11:52 C:\Program Files\ReasonLabs
2024-08-03 22:53 C:\Program Files\RogueKiller
2024-09-24 11:52 C:\Program Files\SpyHunter
2024-09-24 11:52 C:\Program Files\SUPERAntiSpyware
2024-09-24 11:52 C:\Program Files\Transmission
2024-09-24 11:52 C:\Program Files (x86)\360
2024-09-24 11:52 C:\Program Files (x86)\AVAST Software
2024-09-24 11:52 C:\Program Files (x86)\AVG
2024-09-24 11:52 C:\Program Files (x86)\Cezurity
2024-09-24 11:52 C:\Program Files (x86)\GPU Temp
2024-09-24 11:52 C:\Program Files (x86)\GRIZZLY Antivirus
2024-09-24 11:52 C:\Program Files (x86)\Kaspersky Lab
2024-09-24 11:52 C:\Program Files (x86)\Microsoft JDX
2024-09-24 11:52 C:\Program Files (x86)\Moo0
2024-09-24 11:52 C:\Program Files (x86)\Panda Security
2024-09-24 11:52 C:\Program Files (x86)\SpeedFan
2024-09-24 11:52 C:\Program Files (x86)\SpyHunter
2024-09-24 11:52 C:\Program Files (x86)\Transmission
2024-09-24 11:52 C:\Program Files (x86)\Wise
2024-09-24 11:52 C:\Program Files\Common Files\AV
2024-09-24 11:52 C:\Program Files\Common Files\Doctor Web
2024-09-24 11:52 C:\Program Files\Common Files\McAfee
2024-09-24 11:52 C:\ProgramData\360safe
2024-09-24 11:52 C:\ProgramData\AVAST Software
2024-09-24 11:52 C:\ProgramData\Avira
2024-09-24 11:52 C:\ProgramData\BookManager
2024-09-24 11:52 C:\ProgramData\Doctor Web
2024-09-24 11:52 C:\ProgramData\ESET
2024-09-24 11:52 C:\ProgramData\Evernote
2024-09-24 11:52 C:\ProgramData\FingerPrint
2024-09-24 11:52 C:\ProgramData\grizzly
2024-09-24 11:52 C:\ProgramData\Kaspersky Lab
2024-09-24 11:52 C:\ProgramData\Kaspersky Lab Setup Files
2024-09-24 11:52 C:\ProgramData\McAfee
2024-09-24 11:52 C:\ProgramData\Norton
2024-09-24 11:52 C:\ProgramData\princeton-produce
2024-09-24 11:52 C:\ProgramData\PuzzleMedia
2024-09-24 11:52 C:\ProgramData\RobotDemo
2024-09-24 11:52 C:\ProgramData\WavePad
2024-09-24 11:52 C:\Users\User\Desktop\AutoLogger
2024-09-24 11:52 C:\Users\User\Desktop\AV_block_remover
2024-09-24 11:52 C:\Users\User\Downloads\AutoLogger
2024-09-24 11:52 C:\Users\User\Downloads\AV_block_remover
FirewallRules: [{459446E0-AFD3-43F3-A608-2DE51DD8602B}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{5456F60F-40AC-4052-8623-8EA7E21E1C72}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{74BCC44D-374A-47F9-B422-1EB4D2DF835A}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{BCE758F8-39B5-4EBE-BBC6-580AF4F77740}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{7C5743CA-648F-4BE9-9CE1-892EFDE43138}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{8A396F69-A708-48DF-91BC-EA562E6557EB}] => (Allow) E:\Для образа\AnyDesk.exe => Нет файла
FirewallRules: [{1EBD36EF-C95C-4CCA-BD04-7EF0B9ED7C42}] => (Allow) C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [TCP Query User{B339905F-6C01-4BEF-9D9D-47899F97D2A2}D:\sdi_x64_r2000.exe] => (Allow) D:\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{AEC2A9AD-BDCD-46F8-A5B7-B842901D3788}D:\sdi_x64_r2000.exe] => (Allow) D:\sdi_x64_r2000.exe => Нет файла
FirewallRules: [TCP Query User{FE92D185-7CDD-4785-B66E-BE2E66152505}C:\users\user\appdata\roaming\mango telecom\m.talker\application\trueconf\trueconf_callx.dat] => (Allow) C:\users\user\appdata\roaming\mango telecom\m.talker\application\trueconf\trueconf_callx.dat => Нет файла
FirewallRules: [UDP Query User{70F6B441-8EF7-4E3F-83BD-05D6EAA80454}C:\users\user\appdata\roaming\mango telecom\m.talker\application\trueconf\trueconf_callx.dat] => (Allow) C:\users\user\appdata\roaming\mango telecom\m.talker\application\trueconf\trueconf_callx.dat => Нет файла
FirewallRules: [TCP Query User{4963ABB2-16B9-4492-A85B-36E71D08CACF}C:\program files (x86)\steam\steamapps\common\elite dangerous\products\elite-dangerous-odyssey-64\elitedangerous64.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\elite dangerous\products\elite-dangerous-odyssey-64\elitedangerous64.exe => Нет файла
FirewallRules: [UDP Query User{C008E184-B806-4F8A-BD21-A32DC95B9233}C:\program files (x86)\steam\steamapps\common\elite dangerous\products\elite-dangerous-odyssey-64\elitedangerous64.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\elite dangerous\products\elite-dangerous-odyssey-64\elitedangerous64.exe => Нет файла
FirewallRules: [TCP Query User{1F23139C-0693-47A0-970D-C67700FD1D53}C:\games\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) C:\games\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
FirewallRules: [UDP Query User{19492357-0B30-404C-B528-562349370539}C:\games\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe] => (Allow) C:\games\gta san andreas - definitive edition\gameface\binaries\win64\sanandreas.exe => Нет файла
FirewallRules: [TCP Query User{640621CE-88D5-42FB-830A-7458C4E96116}C:\program files (x86)\r.g. mechanics\unreal tournament 3\binaries\ut3.exe] => (Allow) C:\program files (x86)\r.g. mechanics\unreal tournament 3\binaries\ut3.exe => Нет файла
FirewallRules: [UDP Query User{807943FA-2682-454E-ACA9-3E14D466B6E3}C:\program files (x86)\r.g. mechanics\unreal tournament 3\binaries\ut3.exe] => (Allow) C:\program files (x86)\r.g. mechanics\unreal tournament 3\binaries\ut3.exe => Нет файла
FirewallRules: [{D2F6BD59-FA22-4F34-86CA-C11B543222CC}] => (Allow) C:\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [{D38EE45D-53F0-435A-8191-BA00E533D05D}] => (Allow) C:\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [TCP Query User{6B2E2AD7-C663-4ACB-A839-A99C9F4A450A}C:\soft\wallpaper engine\bin\ui32.exe] => (Allow) C:\soft\wallpaper engine\bin\ui32.exe => Нет файла
FirewallRules: [UDP Query User{6447AA4A-DED7-46A3-9209-02A56AF6A309}C:\soft\wallpaper engine\bin\ui32.exe] => (Allow) C:\soft\wallpaper engine\bin\ui32.exe => Нет файла
FirewallRules: [TCP Query User{1191CB7E-CFCC-4C38-9F18-89FEAC218761}C:\program files (x86)\steam\steamapps\common\the witcher 2\bin\witcher2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [UDP Query User{EF16CA54-5FD7-4D13-A435-D289069D3BD9}C:\program files (x86)\steam\steamapps\common\the witcher 2\bin\witcher2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [TCP Query User{EC02935D-4A0C-402C-872A-F5392EC03356}C:\program files (x86)\r.g. mechanics\far cry 3\bin\farcry3_d3d11.exe] => (Allow) C:\program files (x86)\r.g. mechanics\far cry 3\bin\farcry3_d3d11.exe => Нет файла
FirewallRules: [UDP Query User{57DFDA68-437A-4312-B3ED-2DF0D324EBCB}C:\program files (x86)\r.g. mechanics\far cry 3\bin\farcry3_d3d11.exe] => (Allow) C:\program files (x86)\r.g. mechanics\far cry 3\bin\farcry3_d3d11.exe => Нет файла
FirewallRules: [{E3F19F1E-25B9-4358-8965-F538EDC7BDD5}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{3FFC82CE-A1F0-4644-993C-E74C7C07CC7F}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DE6117A8-786B-43CC-9AF8-6C476B3F5FC0}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{30B1377A-CDB4-41AD-9CCE-C82E50D93E2C}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{C231EE1F-4F1B-4E16-AFCA-B942CE1ACBAE}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{EE5038F2-6DBF-49AF-86BE-9A3C00CE75D0}] => (Allow) C:\Users\User\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{9E211830-654D-4841-B8AF-7EEA6D66D7DE}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{67C2D670-11C4-4E6D-92A5-DCD5809B9873}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{B666B209-4F1F-4284-BA54-6FC7EA1C6A78}C:\games\re6\bh6.exe] => (Block) C:\games\re6\bh6.exe => Нет файла
FirewallRules: [UDP Query User{B5C09409-5902-4959-B068-9C0634417157}C:\games\re6\bh6.exe] => (Block) C:\games\re6\bh6.exe => Нет файла
FirewallRules: [TCP Query User{755330B3-AE1C-471D-8A06-9EA9598113CE}C:\resident evil 5\re5dx9.exe] => (Allow) C:\resident evil 5\re5dx9.exe => Нет файла
FirewallRules: [UDP Query User{0E43C8E4-BAD5-42E2-9484-3F4141D5E20A}C:\resident evil 5\re5dx9.exe] => (Allow) C:\resident evil 5\re5dx9.exe => Нет файла
FirewallRules: [TCP Query User{3B6D43EA-82E1-41F8-8604-EDCDA47ECD7C}C:\games\resident evil 5 gold.edition\launcher.exe] => (Allow) C:\games\resident evil 5 gold.edition\launcher.exe => Нет файла
FirewallRules: [UDP Query User{FB3F6A61-5353-4C97-9B69-553275BEF669}C:\games\resident evil 5 gold.edition\launcher.exe] => (Allow) C:\games\resident evil 5 gold.edition\launcher.exe => Нет файла
FirewallRules: [TCP Query User{8F92EA2E-C14B-4990-8D52-E7A6F96677CE}C:\program files (x86)\steam\steamapps\common\portal 2\portal2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\portal 2\portal2.exe => Нет файла
FirewallRules: [UDP Query User{E432B854-22FF-4473-BC07-0451D0D97111}C:\program files (x86)\steam\steamapps\common\portal 2\portal2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\portal 2\portal2.exe => Нет файла
FirewallRules: [{BBFFFAEE-7EA8-4117-B11A-BE59FFE8261E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.124.3204.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{8E3D4916-46D6-4950-8BF0-F9D3BB2AEF27}C:\program files (x86)\by decepticon\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\by decepticon\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{08B691BD-52E3-45DA-8E1A-BEFA215F7A1D}C:\program files (x86)\by decepticon\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\by decepticon\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{66DF8815-F912-44C1-8B9A-2B58C1175525}C:\r.g. catalyst\portal 2\portal2.exe] => (Allow) C:\r.g. catalyst\portal 2\portal2.exe => Нет файла
FirewallRules: [UDP Query User{89305CE1-9D38-406A-846A-99B4058770E5}C:\r.g. catalyst\portal 2\portal2.exe] => (Allow) C:\r.g. catalyst\portal 2\portal2.exe => Нет файла
FirewallRules: [{DD2D053A-3C47-4446-9C47-19A023A7EAFF}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{DEB48AEB-BBE2-49BC-BDD0-CAF574ED99FB}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{64030450-9FDD-47F0-BF43-4E3911484C6A}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{75A7B45A-5B1E-4ECD-AEA2-07DF82E02FF0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.126.3208.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{54ECEDAB-4A79-4C93-A5EB-D85DB8F2BA24}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.127.3200.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C98BC253-0195-4E66-8394-38BA5659341B}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.128.3207.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[KakoeImyaSdelat 0]

Fixlog.txt

[thyrex 1 418]

Проблема решена?

[KakoeImyaSdelat 0]

Пока не знаю..( надо посерфить немного, могу завтра в обед сказать результат?

[thyrex 1 418]

Конечно.