Помощь в удалении vid001

[МаксМаксимов]

Доброго времени суток! Порядком недели не могу вывести vid001 на компьютерах этот майнер!

report1.log report2.log

[Sandor]

Здравствуйте!

 

Прикрепите ещё главный архив с именем CollectionLog.

[МаксМаксимов]

CollectionLog-2021.12.01-11.10.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\admin.dastan\appdata\roaming\temporx\uihost32.exe');
 TerminateProcessByName('c:\users\admin~1.das\appdata\local\temp\javarx2.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('c:\users\admin.dastan\appdata\roaming\temporx\uihost32.exe', '');
 QuarantineFile('C:\Users\admin.DASTAN\AppData\Roaming\TempoRX\VID001.exe', '');
 QuarantineFile('c:\users\admin~1.das\appdata\local\temp\javarx2.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteSchedulerTask('Microsoft LocalManager[e5e715d1-f650-4bb2-af82-1cda9af921d7]');
 DeleteFile('C:\ProgramData\microsoft\windows\start menu\programs\startup\vid001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '32');
 DeleteFile('c:\users\admin.dastan\appdata\roaming\temporx\uihost32.exe', '');
 DeleteFile('C:\Users\admin.DASTAN\appdata\roaming\temporx\vid001.exe', '');
 DeleteFile('C:\Users\admin.DASTAN\AppData\Roaming\TempoRX\VID001.exe', '32');
 DeleteFile('c:\users\admin~1.das\appdata\local\temp\javarx2.exe', '');
 DeleteFile('c:\users\admin~1.das\appdata\local\temp\javarx2.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Прикрепите новый CollectionLog.

[МаксМаксимов]

Check_Browsers_LNK.log

CollectionLog-2021.12.01-12.39.zip

[Sandor]

16 минут назад, МаксМаксимов сказал:

Check_Browsers_LNK.log 9.5 kB · 0 загрузок

Это лог проверки. Лог очистки будет с другим именем.

 

Деинсталлируйте больше не поддерживаемый Adobe Flash

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Adobe Flash Player 32 PPAPI

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[МаксМаксимов]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-26771086-3262329325-62347001-1109\...\MountPoints2: {cb62681b-2cd9-11ec-b493-18d6c706322d} - E:\wpi\MInst.exe
  Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2019-10-29] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2019-10-29] () [Файл не подписан]
  Startup: C:\Users\jituhina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2021-12-01]
  ShortcutTarget: explorer.lnk -> C:\Users\admin.DASTAN\AppData\Roaming\TempoRX\VID001.exe (Нет файла)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2019-10-29] () [Файл не подписан]
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe
  2021-12-01 11:05 - 2021-12-01 11:05 - 000000000 __SHD C:\ProgramData\{88308451-8830-8830-883084513920}
  2021-12-01 11:05 - 2021-12-01 11:05 - 000000000 __SHD C:\ProgramData\{88308451-8830-8830-883084513920}
  2021-12-01 10:49 - 2021-12-01 10:49 - 000000000 __SHD C:\ProgramData\{46555965-4655-4655-465559656017}
  2021-12-01 10:49 - 2021-12-01 10:49 - 000000000 __SHD C:\ProgramData\{46555965-4655-4655-465559656017}
  2021-12-01 10:44 - 2021-12-01 12:20 - 000000000 ____D C:\Users\admin.DASTAN\AppData\Roaming\TempoRX
  2021-12-01 10:44 - 2021-12-01 10:44 - 000000000 __SHD C:\ProgramData\{41177863-4117-4117-411778638901}
  2021-12-01 10:44 - 2021-12-01 10:44 - 000000000 __SHD C:\ProgramData\{41177863-4117-4117-411778638901}
  2021-12-01 10:41 - 2021-12-01 10:41 - 000000000 __SHD C:\ProgramData\{09807137-0980-0980-098071373956}
  2021-12-01 10:41 - 2021-12-01 10:41 - 000000000 __SHD C:\ProgramData\{09807137-0980-0980-098071373956}
  2021-12-01 10:33 - 2021-12-01 10:33 - 000000000 __SHD C:\ProgramData\{82367307-8236-8236-823673071801}
  2021-12-01 10:33 - 2021-12-01 10:33 - 000000000 __SHD C:\ProgramData\{82367307-8236-8236-823673071801}
  2021-12-01 10:11 - 2021-12-01 10:11 - 000000000 __SHD C:\ProgramData\{64438902-6443-6443-644389026384}
  2021-12-01 10:11 - 2021-12-01 10:11 - 000000000 __SHD C:\ProgramData\{64438902-6443-6443-644389026384}
  2021-12-01 10:10 - 2021-12-01 10:10 - 000000000 ____D C:\Users\jituhina\AppData\Roaming\TempoRX
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 1 декабря, 2021 пользователем Sandor

[МаксМаксимов]

Fixlog.txt

[Sandor]

26 минут назад, Sandor сказал:

Лог очистки будет с другим именем

Так и не показали нужный.

 

Проблема решена?

[МаксМаксимов]

скажите пожалуйста а как вычислить компьютер с которого идёт этот вирус ?

скажите пожалуйста а как вычислить компьютер с которого идёт этот вирус ?

ClearLNK-2021.12.01_13.30.29.log

[Sandor]

Что вы хотели показать скриншотом? Тот пункт не был выполнен? Из архива утилиту распаковали?

 

8 минут назад, МаксМаксимов сказал:

как вычислить компьютер с которого идёт этот вирус ?

Сначала ответьте на мой вопрос - все ли сейчас в порядке на этом компьютере?

[МаксМаксимов]

после перезагрузки в диспетчере всё еще есть vid001

[Sandor]

Пожалуйста, не игнорируйте остальные вопросы.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[МаксМаксимов]

после перезагрузки в диспетчере всё еще есть vid001

результат.txt