Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата


NetShield Kit 1.3.40.0
 

 

"Пофиксите" в HijackThis:

	R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
	O17 - DHCP DNS 2: 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{98fc2bcf-d82c-11e7-8b06-806e6f6e6963}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{9e2f48f8-2c95-4861-9f6d-16a02da7e4ad}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{a0bbdbee-6c0f-404e-bb57-35cc7c7671a2}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{c8590665-b370-4e23-a607-8d672375154a}: [NameServer] = 37.59.58.122
	O22 - Task: ACebGKLIWrNtBBZYe2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hRLPhinczpadDEDWtlR\qBQwxQt.dll",#1
	O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade
	O22 - Task: UJpLqWQuvujiHAQUOrH2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\rKJynLrOvgnIC\ofObilP.dll",#1
	O22 - Task: VPVyoPDujUodEo - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\mmLcMYLNOiuU2\MwUKTupzCyFeQ.dll",#1



 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Run: [AceStream] => C:\Users\Wishnya\AppData\Roaming\ACEStream\engine\ace_engine.exe
    FF HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Wishnya\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    CHR Notifications: Default -> hxxps://mail-notification.info
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/"
    C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
    
    C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mojknhmjfanggmphddklmlgehhnbmkmo
    
    CHR HKU\S-1-5-21-915363819-2331218686-1454633553-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
    2020-10-21 12:53 - 2020-10-21 13:36 - 000000000 ____D C:\ProgramData\ZVGGBJVDFLOWaJVB
    NetShield Kit 1.3.40.0 (HKLM-x32\...\{8bc41a47-540a-4127-a405-3769ba5bf553}) (Version: 1.3.40.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData\.rdata:X [526]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
    FirewallRules: [{31650B4A-607F-467B-9F1A-61F8B93676E4}] => (Allow) LPort=25565
    FirewallRules: [{60056A33-CA5F-4E64-9BD1-34E095E54D72}] => (Allow) LPort=25565
    FirewallRules: [{0DC6622B-7993-4C15-95FD-1D49A588395F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{8851C2E0-533D-4271-B631-53E91E259C25}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{1E6A83F3-9135-4169-8434-F5E0E9303E54}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{4154A31F-7537-4847-ADF6-75FEBEF96D2D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{109698F5-2A55-4889-BD96-A40EB5EB5127}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{A4215D06-F184-4552-B903-69245D7B579F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{E85AA48C-C82B-4942-8393-C720A3476B9A}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    FirewallRules: [{726D43E3-5D4F-493D-820C-4257454E5668}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    FirewallRules: [{E7CE693B-C19E-482E-A2BC-34A4E09F2DB2}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    FirewallRules: [{D4954364-5427-4DE8-886C-312989E9EA03}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

В перечне установленных программ появится NetShield Kit 1.3.40.0, на этот раз удалите его.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению SecurityCheck не смог обновить базы данных и я продолжила сканирование с локальными базами, скачивать его также пришлось через vpn т.к. сайт не загружался.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Не страшно, локальная база относительно свежая.

 

--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
XnView 2.40 v.2.40 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Вячеслав Александрович
      Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )
      вирус
       - блокирует установку любых антивирусов
       - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.
      вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 
      -так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 
      в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 
      в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 
      так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов
      в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring
       
      ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению
      https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo
       
      если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))
       
      Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?
       
      p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%
       

       
      вирус1.zip
    • От Mayglu
      Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).
      CollectionLog-2020.04.10-17.31.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      how_to_decrypt.7z
    • От SorcerOK
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит. Сообщение от него остается. Находит здесь: file: C:\ProgramData\Setup\update.exe->(AutoIT)->wini.exe
      CollectionLog-2020.05.14-15.57.zip
×
×
  • Создать...