Словил зловреда усложняет работу

[Вадим666]

PUA:Win32/Vigua.A

PUA:Win32/Packunwan

PUATorrent:Win32/uTorrent

PUA:Win32/Softcnapp

 

Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC

Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection

 

Изменено 5 мая пользователем Вадим666

[Sandor]

Здравствуйте!

 

Начните с выполнения правил - Порядок оформления запроса о помощи

[Вадим666]

CollectionLog-2025.05.05-11.34 (2).zipKVRT не обнаружил нечего. 

Лог АсвологераCollectionLog-2025.05.05-11.34 (2).zip

FRST.7z

Изменено 5 мая пользователем Вадим666

[Sandor]

Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Вопросы:

PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте.

 

Программа sinister-journal вам известна? Если нет, тоже удалите.

 

После этого:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Вадим666]

ок 

эта да нужна

sinister-journal эту под снос 

симантик был щас чистану ну и затем AV приложу

 

 

 

5 часов назад, Sandor сказал:

Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Вопросы:

PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте.

 

Программа AV_block_remover.7z вам известна? Если нет, тоже удалите.

 

После этого:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

 

sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera

Чистку произвел от Symantec Endpoint Protection

[Sandor]

8 минут назад, Вадим666 сказал:

sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera

Удалите принудительно с помощью Geek Uninstaller

[Вадим666]

8 минут назад, Sandor сказал:

Удалите принудительно с помощью Geek Uninstaller

снес

[Sandor]

Хорошо, продолжайте (AVbr)

[Вадим666]

1 час назад, Sandor сказал:

Хорошо, продолжайте (AVbr)

AV_block_remover.7z готово

[Sandor]

Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Вадим666]

15 часов назад, Sandor сказал:

Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

готово

Desktop.7z

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
  Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ
  C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
  CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec
  File: C:\Users\shket\rtadmin.exe
  AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
  AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122]
  FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247
  FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246
  FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245
  FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422
  FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Вадим666]

12 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
  Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ
  C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
  CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec
  File: C:\Users\shket\rtadmin.exe
  AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
  AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122]
  FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247
  FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246
  FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245
  FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422
  FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.Fixlog.txt

 

 

 

готово

12 минут назад, Sandor сказал:

Подробнее читайте в этом руководстве.

 

[mike 1]

Здравствуйте, лог файл забыли прикрепить к сообщению. 

[Вадим666]

5 минут назад, mike 1 сказал:

Здравствуйте, лог файл забыли прикрепить к сообщению. 

Fixlog.txt

он прикреплен 

прикрепил повторно