[РЕШЕНО] какой-то вирус залез Trojan.Win32.Agentb.adkr

[420427]

Здравствуйте, какой-то вирус залез в комп, помогите, пожалуйста, избавиться.

CollectionLog-2025.12.12-15.19.zip

Изменено 12 декабря, 2025 пользователем 420427

[Sandor]

Здравствуйте!

 

37 минут назад, 420427 сказал:

какой-то вирус залез в комп

И это не удивительно, система давно устарела и представляет из себя решето:

Цитата

OS:       x32 Windows XP (Professional), 5.1.2600.0, Service Pack: 2

 

Обновлять не планируете? Вижу сканировали с помощью CureIt. Он ничего не нашёл?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\docume~1\first\locals~1\temp\eskephgwlyfvxldfh.exe');
 TerminateProcessByName('c:\docume~1\first\locals~1\temp\yckuvds.exe');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\eskephgwlyfvxldfh.exe .', '');
 QuarantineFile('c:\docume~1\first\locals~1\temp\eskephgwlyfvxldfh.exe', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\lcxuidfyqgqjofafknez.exe .', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\lcxuidfyqgqjofafknez.exe', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\xkbuevtiwioderij.exe .', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\xkbuevtiwioderij.exe', '');
 QuarantineFile('c:\docume~1\first\locals~1\temp\yckuvds.exe', '');
 QuarantineFile('C:\DOCUME~1\First\LOCALS~1\Temp\yoierlmevktlpfzdhjz.exe', '');
 QuarantineFile('C:\samafrkudkl.bat', '');
 QuarantineFile('C:\WINDOWS\system32\asombxaunepjphdjptlhf.exe', '');
 QuarantineFile('C:\WINDOWS\system32\lcxuidfyqgqjofafknez.exe', '');
 QuarantineFile('C:\WINDOWS\system32\ncvqcvvmcqypshadgh.exe', '');
 QuarantineFile('C:\WINDOWS\system32\xkbuevtiwioderij.exe', '');
 QuarantineFile('C:\WINDOWS\system32\yoierlmevktlpfzdhjz.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('D:\samafrkudkl.bat', '');
 DeleteFile('C:\autorun.inf', '');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\eskephgwlyfvxldfh.exe .', '32');
 DeleteFile('c:\docume~1\first\locals~1\temp\eskephgwlyfvxldfh.exe', '');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\eskephgwlyfvxldfh.exe', '32');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\lcxuidfyqgqjofafknez.exe .', '32');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\lcxuidfyqgqjofafknez.exe', '32');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\xkbuevtiwioderij.exe .', '32');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\xkbuevtiwioderij.exe', '');
 DeleteFile('c:\docume~1\first\locals~1\temp\yckuvds.exe', '');
 DeleteFile('c:\docume~1\first\locals~1\temp\yckuvds.exe', '32');
 DeleteFile('C:\DOCUME~1\First\LOCALS~1\Temp\yoierlmevktlpfzdhjz.exe', '32');
 DeleteFile('C:\samafrkudkl.bat', '');
 DeleteFile('C:\WINDOWS\system32\asombxaunepjphdjptlhf.exe', '32');
 DeleteFile('C:\WINDOWS\system32\lcxuidfyqgqjofafknez.exe', '');
 DeleteFile('C:\WINDOWS\system32\lcxuidfyqgqjofafknez.exe', '32');
 DeleteFile('C:\WINDOWS\system32\ncvqcvvmcqypshadgh.exe', '32');
 DeleteFile('C:\WINDOWS\system32\xkbuevtiwioderij.exe', '32');
 DeleteFile('C:\WINDOWS\system32\yoierlmevktlpfzdhjz.exe', '32');
 DeleteFile('D:\autorun.inf', '');
 DeleteFile('D:\samafrkudkl.bat', '');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oymcjxsepybnl', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'xkbuevtiwioderij', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'eskephgwlyfvxldfh', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'papgodzmyimzyj', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oymcjxsepybnl', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'yoierlmevktlpfzdhjz', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ncvqcvvmcqypshadgh', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'papgodzmyimzyj', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'oymcjxsepybnl', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'xkbuevtiwioderij', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'papgodzmyimzyj', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Прикрепите новый CollectionLog.

 

[420427]

29 минут назад, Sandor сказал:

Обновлять не планируете? Вижу сканировали с помощью CureIt. Он ничего не нашёл?

нет, там спец программы для фотопечати на оборудовании Fudji. CureIt даже не запустился.

 

[Sandor]

2 часа назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger

Это сделайте.

 

После:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[420427]

2 часа назад, Sandor сказал:

Обновлять не планируете? Вижу сканировали с помощью CureIt. Он ничего не нашёл?

нет, там спец программы для фотопечати на оборудовании Fudji. CureIt даже не запустился.

+ новые логи

CollectionLog-2025.12.12-18.10.zip

[Sandor]

Хорошо, логи выглядят значительно лучше.

По отчётам Farbar отвечу позже, возможно завтра.

[420427]

5 минут назад, Sandor сказал:

Это сделайте.

 

После:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

не запускается, 32 битная версия

[Sandor]

Да, Farbar больше не поддерживает Windows XP.

Попробуем Malwarebytes эту версию.

[Sandor]

Если не сможете загрузить по первой ссылке, вот вторая.

[420427]

2 часа назад, Sandor сказал:

Да, Farbar больше не поддерживает Windows XP.

Попробуем Malwarebytes эту версию.

ОШИБКА 403

Запрос не может быть выполнен.

---

Дистрибутив Amazon CloudFront настроен на блокировку доступа из вашей страны. В данный момент мы не можем подключиться к серверу этого приложения или веб-сайта. Возможно, слишком большой трафик или ошибка конфигурации. Повторите попытку позже или свяжитесь с владельцем приложения или веб-сайта.
Если вы предоставляете клиентам контент через CloudFront, вы можете найти инструкции по устранению неполадок и предотвращению этой ошибки в документации CloudFront.

---

Сгенерировано CloudFront (CloudFront)
 Идентификатор запроса: Lx4lqwgltJdqWe-pVmWnC2J0y9l51wamFDT0C-HhhG2iM8Saz3IENA==

2 часа назад, Sandor сказал:

Если не сможете загрузить по первой ссылке, вот вторая.

эта работает

[420427]

Но тоже не запускается

[Sandor]

Ясно. Пробуем KVRT 2015, по идее должна запуститься.

[420427]

удалось скачать для ХР этоhttps://archive.org/details/malwarebytes_for_win_xp

вот отчет во вложении.

найдено.txt

host такой:

Цитата

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии 
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost
0.0.0.0 serius.mwbsys.com
0.0.0.0 keystone.mwbsys.com

 

9 минут назад, Sandor сказал:

Ясно. Пробуем KVRT 2015, по идее должна запуститься.

сейчас скачаю - тоже прогоню. 

[Sandor]

6 минут назад, 420427 сказал:

вот отчет во вложении

Всё найденное в Malwarebytes можно удалить (поместить в карантин).

[420427]

1 час назад, Sandor сказал:

Всё найденное в Malwarebytes можно удалить (поместить в карантин).

это удалил, повторно прогнал  - все чисто. что-то еще нужно запустить протестить?