[РЕШЕНО] Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить

[LaVVINa]

Добрый день! 
Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
Через безопасный режим виндовс не убирается, возвращается.
Помогите, пожалуйста, убрать его 🙏

CollectionLog-2025.09.19-21.18.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\CACService\CACServices.exe','');
 DeleteFile('C:\ProgramData\CACService\CACServices.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAC Service','x64');
 DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[LaVVINa]

Новые логи прикрепила

и отбивка из формы:
Имя карантин-а(ов) сообщите в теме:
2025.09.19_quarantine_193e04a2f766c9824d918866f616db71.7z
 

CollectionLog-2025.09.19-21.58.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[LaVVINa]

Доброе утро!

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
C:\Users\ladal\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gmgoamodcdcjnbaobigkjelfplakmdhh
C:\Users\ladal\AppData\Local\Google\Chrome\User Data\Profile 8\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program\WinRar\rarext.dll -> Нет файла
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program\WinRar\rarext32.dll -> Нет файла
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program\WinRar\rarext.dll -> Нет файла
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program\WinRar\rarext32.dll -> Нет файла
HKLM\...\StartupApproved\Run: => "CAC Service"
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\CACService"
Remove-MpPreference -ExclusionProcess "powershell.exe"
EndPowerShell:
FirewallRules: [TCP Query User{EA6CB119-4C4D-4D6D-A36E-E3ECDE3FFFBC}C:\program\utorrent\utorrent.exe] => (Allow) C:\program\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{A20366E4-2BD7-44BB-AFAB-4942C86F9E33}C:\program\utorrent\utorrent.exe] => (Allow) C:\program\utorrent\utorrent.exe => Нет файла
FirewallRules: [{f817a017-9069-4aea-9fa4-3b178c1fe71b}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{9780e0a3-fd92-484d-9877-39ccaf893db8}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
C:\ProgramData\CACService
FirewallRules: [{440F346E-A76C-460E-A826-01C429E38014}] => (Allow) D:\Steam\steamapps\common\ARK\ShooterGame\Binaries\Win64\ShooterGame_BE.exe => Нет файла
FirewallRules: [{C4E250CA-EBB0-4E0C-8230-5063AE16F333}] => (Allow) D:\Steam\steamapps\common\ARK\ShooterGame\Binaries\Win64\ShooterGame_BE.exe => Нет файла
FirewallRules: [{A3E4F023-BBDB-455D-8ED9-8F29C1A377B5}] => (Allow) D:\Steam\steamapps\common\ARK\ShooterGame\Binaries\Win64\ShooterGame.exe => Нет файла
FirewallRules: [{632CBCE8-CA47-42EE-B175-8F38F02037FC}] => (Allow) D:\Steam\steamapps\common\ARK\ShooterGame\Binaries\Win64\ShooterGame.exe => Нет файла
FirewallRules: [{9a212d77-29fe-4369-8abd-2b413d0a6a54}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{27a4c94a-9e81-44f9-aceb-0cd594d7a85a}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{46293e19-9e2f-447d-b849-885d7a16c81c}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{1b9fa2aa-af18-4125-884b-73d11be9ee49}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{5a861aaa-cfa4-4cad-a33c-4a98c687d01b}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{cd901c02-4255-4e7d-84a0-514b820e79a2}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{0e5d01e7-20ff-426b-b083-c429d46287ec}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{82fe4b63-20a9-4d49-928d-c470e8389f88}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{6db3c935-57da-4705-a649-32aa21acaad6}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{b1d20ae7-220b-4500-b9fc-bf59abda7789}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{ef9574b6-e361-43ac-871f-800e50787670}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{70aa97b8-f646-4270-baaf-ba3d4012b46e}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[LaVVINa]

Добрый день! Файл прикрепила

Fixlog.txt

[thyrex]

Проблема решена?

[LaVVINa]

Да, спасибо)

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[LaVVINa]

Прикрепила

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Discord v.1.0.9189 Внимание! Скачать обновления
Zoom Workplace v.6.5.9 (11873) Внимание! Скачать обновления
OBS Studio v.31.0.3 Внимание! Скачать обновления
Yandex v.25.8.2.904 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.140.0.7339.185 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[LaVVINa]

Большое спасибо, Тирекс, и спасибо вашему форуму! Всего вам доброго!

Изменено 28 сентября, 2025 пользователем LaVVINa

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".