[РЕШЕНО] Помоги разобраться

[rapunca]

При открытие Chrome веб антивирус ругнулся, до это было что-то похожее, не понял что это

3.txt CollectionLog-2020.11.19-18.09.zip

[Sandor]

Здравствуйте!

 

Proxifier version 3.42 - ставили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger и прикрепите новый CollectionLog.

[rapunca]

Добрый вечер.

Proxifier version 3.42 - ставили самостоятельно? Да, использую только под оперой для разблокировки сайтов через впс

CollectionLog-2020.11.20-16.39.zip

Спасибо вам за то что помогаете

Изменено 20 ноября, 2020 пользователем rapunca

[Sandor]

Цитата

C:\Users\jeeju\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dek ipc.bat

Этого батника в предыдущих логах не было. Он вам известен?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[rapunca]

Этого батника в предыдущих логах не было. Он вам известен?

Это я прочитал отчёт программы и попытался удалить общие шары от греха подальше по нетбиос через команду net share ipc$ /delete и поставил в автозагрузку

 

FRST.txt Addition.txt

[Sandor]

Постарайтесь на время лечения не предпринимать никаких подобных действий. Искажается картина.

RogueKiller version 14.8.0.0 деинсталлируйте как (минимум) бесполезный.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3386961933-1549967215-1051622699-1001\...\MountPoints2: {0251e32b-2729-11eb-a078-806e6f6e6963} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3386961933-1549967215-1051622699-1001\...\MountPoints2: {e60bee4a-15f5-11eb-a051-7085c2a35761} - "E:\HiSuiteDownLoader.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
  HKU\S-1-5-21-3386961933-1549967215-1051622699-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [154]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 21 ноября, 2020 пользователем Sandor

[rapunca]

Добрый вечер

 

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[rapunca]

>Что сейчас с проблемой?

Пока вроде всё нормально, но как произошло заражение, не совсем понятно. Спасибо огромное за помощь

 

Изменено 21 ноября, 2020 пользователем rapunca

[Sandor]

Реакция веб-антивируса - это ведь не заражение, верно?

 

Проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[rapunca]

SecurityCheck.txt

[Sandor]

Рекомендации после удаления вредоносного ПО

[rapunca]

Спасибо большое за помощь

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".