Перейти к содержанию

Вирусы в разрешенных угрозах\исключениях


Рекомендуемые сообщения

Собственно в Защитник Windows (Windows Defender) прописались на ПМЖ толпа вирусов - в разрешенные угрозы и в исключения. Удалить\очистить список не получается, хотя самих вирусов уже нету, но это не точно.

 

ps. раз так вышло, может стоит отказаться от этого встроенного антивируса ?

 

CollectionLog-2021.04.04-00.24.zip

ApplicationFrameHost_2021-04-04_00-34-18.png

ApplicationFrameHost_2021-04-04_00-34-43.png

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\sJdGKRcoguMMSfVB\ukVTPEh.wsf','');
 DeleteFile('C:\ProgramData\sJdGKRcoguMMSfVB\ukVTPEh.wsf','64');
 DeleteSchedulerTask('fgfMtaOsZoelk2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

quarantine.zip загрузил, написали:

Файл сохранён как 210403_221841_quarantine_6068e9c1c1dc7.zip
Размер файла 2870
MD5 f5b04ca23663ae174d575923eb79ed93

CollectionLog-2021.04.04-01.21.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
FF ExtraCheck: C:\Program Files\mozilla firefox\umbrella.cfg [2020-11-18] <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" 
C:\Users\Smile\AppData\Local\Google\Chrome\User Data\Default\Extensions\gakekacnalcpkgkogmbmknlcdikjghba
AlternateDataStreams: C:\Users\Smile\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Smile\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-1526397212-120877525-1708645886-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
FirewallRules: [TCP Query User{ECD5E7D4-321E-41C2-B293-92E1B2184DC4}E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [UDP Query User{648B30E5-1CE0-438C-A166-B41D728585B6}E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [TCP Query User{0DE21A2C-F152-408C-AFC2-23363CF61CB9}E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [UDP Query User{AC24A4EA-05E5-4E7A-ACE9-641E3F1E0CD6}E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [TCP Query User{F40505B1-1EB6-42DF-8AE7-82DDEF0E54EF}C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [UDP Query User{2742FA2F-90C8-4F3C-905F-30E94965925B}C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [TCP Query User{9414B959-C7DD-4CE3-9B65-C3B578E4E1D2}C:\users\smile\downloads\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [UDP Query User{DAE74126-B8C2-4CE0-8C12-F682A33F85C3}C:\users\smile\downloads\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\dbd cookie finder.exe => Нет файла
2021-04-03 23:46 - 2021-04-04 01:16 - 000000000 ____D C:\ProgramData\sJdGKRcoguMMSfVB
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Зашел пробовать а там пусто, все чисто.

Да же прокси в Firefox разблокировался а то был какой ip адрес и файл *.dat...

Я так понимаю на этом все ?, т.к. сам Защитник и Dr.Web CureIt показывают по нулям, угроз нет...

 

Второстепенный вопрос, стоит ли установить еще какой-нить антивирус, помимо Защитника ? А то как слышат Защитник, сразу глаза закатывают...

 

зы. не могу удалить C:\FRST, нет прав пишет...

 

explorer_2021-04-04_16-51-35.png

Изменено пользователем MilligramSmile
Ссылка на сообщение
Поделиться на другие сайты

Для удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe и запустите. Потребуется перезагрузка.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 04.04.2021 20:59:09
Path starting: C:\Users\Smile\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Smile
VersionXML: 7.94s-04.10.2020
___________________________________________________________________________

Windows 10(6.3.17763) (x64) EnterpriseS Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 26.06.2019 21:03:07
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 67024 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 67024 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: ? ФС: [NTFS] Емкость: [118.7 Гб] Занято: [56.7 Гб] Свободно: [62 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1790.17763.0 [+]
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36 [+]
K-Lite Mega Codec Pack 15.6.0 v.15.6.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.1 [+]
Steam v.2.10.91.91
TeamViewer v.15.10.5
TeamViewer (TeamViewer) - Служба работает
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.309 [+]
Skype, версия 8.67 v.8.67 [+]
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.5.45271 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.453 [+]
Adobe Acrobat DC v.20.013.20064 [+]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 87.0 (x64 ru) v.87.0 [+]
Google Chrome v.89.0.4389.114 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MsMpEng.exe v.4.18.2102.4
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\NisSrv.exe v.4.18.2102.4
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.84.2 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Youtube Downloader HD v. 3.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

 

 

54 минуты назад, thyrex сказал:

Для удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe и запустите. Потребуется перезагрузка.

я немного по другому поступил, получилось удалить...

Ссылка на сообщение
Поделиться на другие сайты

Выполните рекомендации по обновлениям программ и удалению нежелательного ПО из лога SecurityCheck, и на этом закончим. 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S14Y3R
      От S14Y3R
      При попытке скачать программу VoiceMod с телеграм-канала Voicemod Pro и запуске из него файла Voicemod_setup.exe поймал вирус-шифровальщик вымогатель LockBit 3.0, от которого мне помогли окончательно избавиться здесь на форуме "Помощь в борьбе с шифровальщиками-вымогателями", но остались проблемы - был отключён и сделан неактивным Windows Defender (прилагаю скриншоты ниже), а также слетела активация самой Windows с ошибкой "Не удаётся активировать Windows на этом устройстве, так как наши серверы активации на данный момент недоступны...", код ошибки - 0x80072EE7 (также прилагаю скриншот ниже)



    • kmscom
      От kmscom
      Ну собственно на картинке 
      нажатие на кнопку Открыть службу ... , ни к чему не приводит. Окно службы может открыться начальное, но потом закроется само.
      Не знаю как давно такое стало. Антивирус Kaspersky установлен. в настоящее время 21.9, но возможно и на 21.8 не открывалось.
      Не знаю также, возможно это ожидаемое поведение. Вирусное заражение я исключаю, я давно уже ничего случайного не качаю и не запускаю, я давно определился с используемым набором ПО, многое покупное.
      Официальной информации, как должно это работать - не нашел.
       
    • Пончик3000
      От Пончик3000
      Здравствуйте! У меня такая проблема. Вместе со скачиванием читов я подхватил трояны. Увы, но если бы не антивирус Касперский, то трояны бы и дальше бы работали, потому что трояны создавали 3 значения реестре, в разделе Windows Defender для его отключения. Сейчас Касперский и утилита dr. web curelt не распознают вирусы, но мне кажется что одно вредоносное ПО ещё осталось. Сейчас ноутбук стал себя странно вести : выскакивают всплывающие окна на 1 секунду в любое время, процессор нагружается и даже тормозит, и самая главная явная причина связана с защитником. Даже возврат в исходное состояние не помог, ноутбук простоял полчаса на 0% и бесконечно перезагружался. Что делать в таком странном случае?
       
      CollectionLog-2023.02.23-00.10.zip
    • alextototo12
      От alextototo12
      Здравствуйте! После скачивания не желательного ПО (трейнер для игры) из не проверенного источника в браузере Opera, Microsoft Defender сразу заблокировал файлы, как только они загрузились, появилось сообщение об обнаружении угроз трояна Wacatac.B!ml (критический уровень) и Dealply!mclg (высокий уровень).  Вирусы были помещены в карантин, а через некоторое время появилось сообщение "Сбой карантина - Эта угроза или приложение могут быть исправлены НЕ полностью". С помощью AutoLogger просканировал систему и подготовил логи. Рассчитываю на вашу помощь в удаление вирусов.


      CollectionLog-2022.11.07-19.34.zip
    • KpyTol_4elOBeK
      От KpyTol_4elOBeK
      Удалить\очистить список не получается. А вирусы вроде бы все удалил

×
×
  • Создать...