Перейти к содержанию
Правила раздела

Прощу помощи в удалении следов заражения

FlangeIR

Автор FlangeIR
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

FlangeIR

FlangeIR

Опубликовано
Опубликовано

Компьютер был заражен майнером, малварью и троянами. Была произведена очистка через KVRT. После этого пытался инсталлировать MBAM, но он не запускается после установки.

Addition.txt FRST.txt avz_log.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по Правилам оформления запроса о помощи

Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - Autorun.inf: D:\autorun.inf - open - CDSetup.exe (file missing)
O4 - Autorun.inf: E:\autorun.inf - (unknown target)
O4 - MountPoints2: HKCU\..\{79692ef4-b953-11ee-abf0-806e6f6e6963}\shell\AutoRun\command: (default) = F:\setup.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Соберите новые логи FRST.txt и Addition.txt

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
FirewallRules: [{803CE728-20C3-4FE6-83D8-D6FA5345C68C}] => (Block) LPort=445
FirewallRules: [{699E2EC0-6589-4D80-874D-D1FA19E3B1F7}] => (Block) LPort=445
FirewallRules: [{97B878E3-7973-4C12-BE6C-A09B8666DBCB}] => (Block) LPort=139
FirewallRules: [{1FBD7C69-C411-4678-AD98-1D9754A0C5D3}] => (Block) LPort=139
FirewallRules: [{98443CB4-4819-4BB2-B7B4-F5B342153396}] => (Allow) LPort=3389
FirewallRules: [{4FE1D18C-0E62-421F-AF03-E71469A9A1F6}] => (Allow) LPort=30305
FirewallRules: [{11135C1B-F10B-4AC9-8D98-8EE694D889D3}] => (Allow) LPort=30306
FirewallRules: [{EB4DF3B6-4D79-44BB-A80D-C9617D9F5DA0}] => (Allow) LPort=30301
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA.
AnyDesk v.ad 9.0.7 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Krita (x64) 5.2.3 (git 68d178c) v.5.2.3.100 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat (64-bit) v.25.001.20693 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.141.0.7390.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shiro14
      Dr.web не может удалить вирус NET:MINERS.URL
      Автор Shiro14
      Здравствуйте, недавно заметил что пк в простое сильно нагружает ЦП а при открытии диспетчера или explorer нагрузка пропадает. Проверил через Dr.web вирус NET:MINERS.URL но удалить не получается. Прикреплю логи и анализ Farbar Recovery Scan cureit.rar Надеюсь на Вашу помощь.
      Farbar.rar
    • AlexTi22
      Trojan.Siggen31.46344 в Temp, app.dll
      Автор AlexTi22
      При проверке Dr. Web CureIt! было замечено 2 угрозы Trojan.Siggen31.46344 в одной из папок Temp в файле app.dll. Удаление при помощи CureIt не помогла, при перезагрузке проблема возвращается. Папки с этими файлами невозможно удалить вручную. 

    • Raritetious
      [РЕШЕНО] drweb.cureit нашел, но не может удалить вирус NET:MINERS.URL
      Автор Raritetious
      Здравствуйте! Помогите и мне пожалуйста, так же drweb.cure it нашел но не может удалить вирус NET:MINERS.URL, вот его лог. Так же прикрепил логи из FRST64
       
      cureit.log logs.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • LaVVINa
      [РЕШЕНО] Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
×
×
  • Создать...