Помощь в удалении vid001

[Sandor]

Отключите этот компьютер от локальной сети, запустите ещё раз Malwarebytes и удалите (поместите в карантин) всё найденное.

Повторите сканирование и прикрепите новый отчет.

 

Включите Контроль учётных записей (UAC), если отключен. К сети пока не подключайте.

[МаксМаксимов]

результат№2.txt

[Sandor]

Также, не подключая к сети, сделайте проверку:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[МаксМаксимов]

SecurityCheck.txt

[Sandor]

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Обязательно установите. Перезагрузите компьютер после чего подключите его к сети и сделайте ещё одну проверку Malwarebytes.

[МаксМаксимов]

 

Изменено 1 декабря, 2021 пользователем МаксМаксимов

[Sandor]

Только одно не подошло, остальные установили?

[МаксМаксимов]

из всех хотфиксов установилось 5!

результат№3.txt

[Sandor]

Лог с того же компьютера или с другого?

Покажите новый лог SecurityCheck.

[МаксМаксимов]

с этого пк с включеным инетом

SecurityCheck2.txt

[Sandor]

Trojan Killer деинсталлируйте.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[МаксМаксимов]

PEO_JI_2021-12-01_16-28-24_v4.11.11.7z

извините, нужно идти! надеюсь завтра продолжим !

[Sandor]

Хорошо. Как появится время, выполните следующее:

 

1. Отключите общий доступ к папке 

Цитата

C:\Users

 

Отключите от локальной сети компьютер.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv6.1
   v400c
   OFFSGNSAVE
   ;---------command-block---------
   delref \\!S!\%J\VID001.EXE
   delref %SystemDrive%\USERS\JITUHINA\APPDATA\ROAMING\TEMPORX\VID001.EXE
   apply
   
   zoo %SystemDrive%\USERS\ADMIN.DASTAN\APPDATA\ROAMING\TEMPORX\VID001.EXE
   addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7
   
   zoo %SystemDrive%\PROGRAMDATA\{12762063-1276-1276-127620633185}\LSM.EXE
   addsgn 1AFE719A5583C98CF42B95BC0CE85105D7FFFE044A08F64182C3C5437532500E239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 8 Trojan.Clipper.50 [DrWeb] 7
   
   zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\PROGRAMDATA\{86566197-8656-8656-865661977785}\LSM.EXE
   zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\VID001.EXE
   zoo D:\VID001.EXE
   zoo %SystemDrive%\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY ANVIR)\VID001.EXE
   zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\192.168.99.44\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\PEO_JI\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\VID001.EXE
   zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\VID001.EXE
   chklst
   delvir
   
   deldir %SystemDrive%\USERS\ADMIN.DASTAN\APPDATA\ROAMING\TEMPORX\
   
   deltmp
   czoo
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

[МаксМаксимов]

сделал

доброе утро

 

так же создает папки, присутствует в диспетчере

[Sandor]

Это червь. Чтобы избавиться действуйте с каждым компьютером сети по такой схеме:

1. Отключаете компьютер от локалки.

2. С помощью KVRT (или Malwarebytes) очищаете систему.

3. Проверяете с помощью SecurityCheck и закрываете уязвимые места

4. Повторяете п. 2 для контроля.

5. Постепенно подключайте вылеченный компьютер.