[РЕШЕНО] Помогите удалить Trojan.Win64.Miner.gen пожалуйста!

[Batyrkhan]

путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог

CollectionLog-2021.02.12-18.55.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Batyrkhan]

хорошо! сейчас все будет сделано!

 

 

хорошо! сейчас все будет сделано!

 

Addition.txt FRST.txt

 

вот!

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {050eaabb-74ae-11ea-be6a-94de8027ccaa} - L:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de984f8-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de9850e-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3365ca84-00f4-11e3-bc23-806e6f6e6963} - E:\AutoInstall.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3aef8465-42b5-11e6-8186-94de8027ccaa} - E:\AutoRun.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3d1b6159-0270-11e3-a189-60d0a9f7bf1b} - E:\AutoInstall.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {4cb1070e-669a-11ea-b2e6-94de8027ccaa} - E:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {5c462a26-efd7-11e3-8cd0-60d0a9f7bf1b} - J:\LGAutoRun.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {6e365008-b26c-11e3-8a64-60d0a9f7bf1b} - J:\LGAutoRun.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {7ccc404c-4f26-11eb-aaf8-94de8027ccaa} - E:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {8edf97dd-0638-11e3-93e4-60d0a9f7bf1b} - E:\AutoInstall.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {9185aa26-4d83-11ea-a898-94de8027ccaa} - E:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {b6d663ef-5d6e-11e6-95c1-94de8027ccaa} - J:\AutoRun.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {e817cc27-42b8-11e6-8900-001e101f0000} - E:\AutoInstall.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f0c61e83-479d-11e3-9426-60d0a9f7bf1b} - E:\AutoInstall.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f952181f-5684-11e7-b70c-94de8027ccaa} - J:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {fce2fc37-293c-11ea-a612-94de8027ccaa} - E:\HiSuiteDownLoader.exe
   virustotal: C:\Users\Админ\AppData\Roaming\NCALayer\NCALayer.exe
   GroupPolicy: Restriction ? <==== ATTENTION
   GroupPolicy\User: Restriction ? <==== ATTENTION
   GroupPolicyScripts: Restriction <==== ATTENTION
   HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
   HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
   HKU\S-1-5-21-818006435-3382491336-101290099-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
   Task: {1627E09D-545B-488F-B800-1F2152B38893} - System32\Tasks\Uninstaller_SkipUac_Админ => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
   Task: {3A4C1AEF-36B5-4561-97D5-B00D79416460} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
   Task: {4037B2C8-C8B5-4D16-9F19-6F639C2E2323} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
   Task: {5ADAC8F4-FE6D-4072-9861-7C8C74246567} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
   Task: {E441266F-5A62-4FF7-B0AB-11A82E0DAA2A} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
   Task: {EB2770B8-0BBF-46B9-AED8-667735F17BA7} - \ServiceCheck_12 -> No File <==== ATTENTION
   Tcpip\..\Interfaces\{22A4BBF4-39C6-44DE-A230-EFE7C064137D}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{455A17AC-2D8E-4CA2-8A05-68B64F5CA3A1}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{6560FBAB-BCD3-425C-8A6A-0B0234E4B0E2}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{7CB44E8B-74E7-4AD2-8091-D162FF76F25E}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{83030B0F-0286-4423-AAEB-BA5EB42593EE}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{8ABA3ECC-CC0E-4F64-9123-7DE5387D02FA}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{DEF753FA-6289-4E5D-80AA-7505FDE21030}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{ED31F21C-9C1A-4A17-8229-B113CF892106}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{F502E0BA-A46A-4A92-9142-9B6A9C65E18C}: [NameServer] 185.192.111.210,37.59.58.122
   Tcpip\..\Interfaces\{F94FC303-8795-4E80-91C6-2F0CE94F2C1D}: [NameServer] 185.192.111.210,37.59.58.122
   S2 NetShieldKitSvc; "C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe" [X]
   U3 aswbdisk; no ImagePath
   S3 FairplayKD; \??\C:\ProgramData\NextRP\Common\temp\FairplayKD.sys [X]
   2021-02-12 16:06 - 2021-02-13 12:46 - 000000000 ____D C:\ProgramData\Flock
   NetShield Kit 1.3.30.0 (HKLM-x32\...\{3351e0d6-8a1d-4a9e-9e31-776bebf5a1d1}) (Version: 1.3.30.0 - Sigma Software) Hidden
   ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
   ContextMenuHandlers1-x32: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Program Files (x86)\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
   AlternateDataStreams: C:\ProgramData:NT [40]
   AlternateDataStreams: C:\ProgramData:NT2 [638]
   AlternateDataStreams: C:\Users\All Users:NT [40]
   AlternateDataStreams: C:\Users\All Users:NT2 [638]
   AlternateDataStreams: C:\Users\Все пользователи:NT [40]
   AlternateDataStreams: C:\Users\Все пользователи:NT2 [638]
   AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
   AlternateDataStreams: C:\ProgramData\Application Data:NT2 [638]
   AlternateDataStreams: C:\Users\Админ\Application Data:NT [40]
   AlternateDataStreams: C:\Users\Админ\Application Data:NT2 [638]
   AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT [40]
   AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT2 [638]
   BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
   Toolbar: HKU\S-1-5-21-818006435-3382491336-101290099-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
   FirewallRules: [{AC8F186A-0EC6-4CF2-BC49-B9960E3612CE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
   FirewallRules: [{C735E351-BB8A-4A0D-B8EF-768A961EBF95}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
   FirewallRules: [{A70AD9D5-05FF-4ACB-8F91-2C966AFC7125}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
   FirewallRules: [{8F2023B0-472B-4ED8-89FC-B3EBDD8E19DE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
   FirewallRules: [{01F6ED3F-8260-487F-83E5-73DA72170250}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
   FirewallRules: [{77DA1356-7A56-4C92-8D19-BDB97FF8993B}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен. .

5. Деинсталлируйте NetShield Kit 1.3.30.0. 

6. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 13 февраля, 2021 пользователем mike 1

[Batyrkhan]

здравствуйте

 

 

 

я не смог найти NetShield Kit 1.3.30.0.

 

 

 

вот фикс лог

Fixlog_13-02-2021 15.04.01.txt

 

и кстати файл

Дата_время zip не была создана

[mike 1]

Цитата

сохраните файл как fixlist.txt в кодировке Юникод

Переделайте пожалуйста.

[Batyrkhan]

хорошо

 

 

сделал! мне повторить эти действия?

1 час назад, mike 1 сказал:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен. .

• Деинсталлируйте NetShield Kit 1.3.30.0. 

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

[mike 1]

Да, пришлите новый лог файл fixlog.txt

[Batyrkhan]

я тут и вот фикслог

Fixlog_13-02-2021 15.46.29.txt

[mike 1]

Что с проблемой?

[Batyrkhan]

все так же вроде

 

 

а нет не все так теперь этот фирус в папке карантин

 

 

в AutoLogerr

 

 

а ой не там

 

 

он в c:\FRST\Quarantine

 

Касперский его нашел там

 

 

теперь скажите мне если я его сейчас удалю он до конца удалиться?
 

[Mark D. Pearlstone]

Строгое предупреждение от модератора Mark D. Pearlstone

@Batyrkhan не превращайте форум в чат. Пишите всё в одном сообщении, а не 10. Используйте кнопку "Изменить" для редактирвоания сообщения.

[mike 1]

Переименуйте FRST в Uninstall и запустите. 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Batyrkhan]

чувак

он короче в файл привратился щяс скину скрин

 

 

 

 

Изменено 13 февраля, 2021 пользователем Batyrkhan
,_,

[mike 1]

Мы не на рынке с вами. Должно быть Uninstall.exe