Zonidel.A

[elaits]

Подхватил с флешки в универе данный вирус.
Защитник Windows видит его, и ложит в карантин, но удалить его полностью почему-то не могу, гуглил, искал в реестре записи вируса, но их там не было. Хелп

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[elaits]

Скачал KVRT, проверил, он ничего не нашел.
Лог со сборщика:

Фото c карантина

pnfg:

 

 

CollectionLog-2019.04.10-17.02.zip

Изменено 10 апреля, 2019 пользователем elaits

[Sandor]

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2. "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__190324
O4 - HKCU\..\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing)

3.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[elaits]

1. https://virusinfo.info/virusdetector/report.php?md5=459B764EF473875D25369F048844E898

2. Пофиксил

3. Выполнил
 

AdwCleanerS00.txt

Изменено 10 апреля, 2019 пользователем elaits

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[elaits]

Сделал

2019-03-28 14:36 - 2019-03-28 14:36 - 000000000 _RSHD C:\Users\elaits\7084774086078605780
 

не странная ли строка? В папке elaits её нету

Нашел C:\Users\elaits\7084774086078605780 маскируется под системный файл, поэтому не было видно. Скорей всего это и есть причина создания темы, какие дальнейшие действия с этой папкой?

FRST.txt

Addition.txt

AdwCleanerC01.txt

Изменено 11 апреля, 2019 пользователем elaits

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  FF NewTab: Mozilla\Firefox\Profiles\0o99uktt.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__190324
  Folder:C:\Users\elaits\7084774086078605780
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Защитник по-прежнему обнаруживает угрозу?

[elaits]

Прикрепил лог.

 

Из карантина в Windows Defender вирус пропал. Появится или нет, покажет время, ибо раньше, после ручной проверки он ничего не находил, но когда вирус активизировался, то антивирус выводил сообщение  "Принятно решение в отношении одной или нескольких угроз, нажмите чтобы узнать подробнее..."

Благодарю за помощь, каждое моё обращение на ваш форум получает ответ и решение от специалистов, не знаю чтобы я без вас делал, наверно, полное восстановление системы, ибо по гайдам из интернета, можно только покопаться в реестре и поискать "вредоносные" записи, которых у меня не было. Спасибо за помощь, Sandor!

 

Ещё один маленький вопрос по этому вирусу, стоит ли сменить пароли на аккаунтах? Написано что эта гадость может тырить пароли, но антивирус же смог отследить вирус и поместить в карантин до исполнения плохих дел, или всё-таки нет?

Fixlog.txt

Изменено 11 апреля, 2019 пользователем elaits

[Sandor]

C:\Users\elaits\7084774086078605780

Эту папку упакуйте с паролем infected и отправьте мне личным сообщением.

 

Далее:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[elaits]

Папку в ЛС отправил

 

Сообщение прикрепил

 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

VMware Workstation v.15.0.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

[elaits]

--------------------------- [ OtherUtilities ] ----------------------------

VMware Workstation v.15.0.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

 

Какие действия с этими приложениями? Обновить их или удалить?

[Sandor]

Обновить и принять к сведению (торрент).