Перейти к содержанию
Правила раздела

[РЕШЕНО] Серия вирусов Trojan:Script/Wacatac.B!ml и прочее (всего 12 шт.)

Константин141414

Автор Константин141414,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Константин141414

Константин141414 0

Опубликовано
Опубликовано

CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414

Константин141414 0

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! Ghostery - Privacy Ad Blocker 1.0.0.0 сам не ставил.

SpyHunter 5 - удалил.

Далее выполняю скрипты...

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Хорошо. Только не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414

Константин141414 0

Опубликовано
  • Автор
Опубликовано

CollectionLog-2022.01.10-16.44.zip

Судя по дате добавления этого файла Ghostery - Privacy Ad Blocker 1.0.0.0 , с тем что нашел антивирус, похоже что это он и есть?

Screenshot_3.jpg

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\MountPoints2: {39fcda33-4b96-11eb-8255-bc8556ec4d9a} - "E:\Setup.exe" 
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Константин\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2601D0E1-943E-4DC8-BEA3-3758D7ED4485} - System32\Tasks\ProactiveScan => C:\Users\Константин\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
Task: {CA6DD3BC-2CCE-4179-BDDF-EE92FD21D3E5} - System32\Tasks\Ghostery Update Task-S-1-5-21-3129086187-856368854-629893744-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Константин\AppData\Local\Programs\Ghostery\336968baf6.msi" /quiet CHROME=1
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://keep.google.com; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR StartupUrls: Default -> "hxxp://google/","hxxp://www.myscore.ru/","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=811036","hxxps://find-it.pro/?utm_source=distr_m"
CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Guest Profile -> find-it.pro
CHR DefaultSuggestURL: Guest Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Profile 1 -> cdn
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> find-it.pro
CHR DefaultSuggestURL: System Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
Zip:C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Preferences;C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Secure Preferences
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Константин\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S1 mcbfylfw; \??\C:\Windows\system32\drivers\mcbfylfw.sys [X]
S1 ofvfqtjo; \??\C:\Windows\system32\drivers\ofvfqtjo.sys [X]
S1 rogbpspm; \??\C:\Windows\system32\drivers\rogbpspm.sys [X]
S1 tgclcueq; \??\C:\Windows\system32\drivers\tgclcueq.sys [X]
S1 vbnkflbs; \??\C:\Windows\system32\drivers\vbnkflbs.sys [X]
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\{dbcac1fd-bf72-4669-81a2-c385da35b211}) (Version: 1.0.0.0 - Ghostery) Hidden
AlternateDataStreams: C:\Users\Константин\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Константин\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\S-1-5-21-3129086187-856368854-629893744-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{8305D618-9813-49C2-A6C0-B34CE66CB753}] => (Allow) LPort=57209
FirewallRules: [{5811391D-03B5-4F14-944B-34F62FED2DE9}] => (Allow) LPort=57209
FirewallRules: [{6C5CB7F3-EB79-4BE3-B758-D205EC447B83}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣䅗祖⹶硥e => Нет файла
FirewallRules: [{BA5C97CD-1A29-487C-9F22-FE3DF0501D9F}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{4636FFE3-5832-47EC-91F4-E067863DB916}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{E7ACD594-CA67-44EF-AB48-1388CA3DBAF4}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣剤硫攮數 => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Его тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Еще один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\WvuPoJwIvxTKMZZr
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\AfEtqgzMU
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LbrCreshhUUn
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\kaVMHETIwLgaWOPZfBR
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\uIPnBimJfvMEC
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\vrSSbiDyxJEU2
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\IDHkqpuSrkhXAiVB
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\system32\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

В перечне установленных программ должна появиться скрытая ранее

Цитата

Ghostery - Privacy Ad Blocker 1.0.0.0

Если не даст стандартно, удалите принудительно через Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты
Константин141414

Константин141414 0

Опубликовано
  • Автор
Опубликовано

Получилось удалить через Geek.

Теперь не отображаются в защитнике windows, то что нужно!

Я так понимаю на этом все?

Screenshot_7.jpg

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
    • Dmitriyln
      Не могу открыть сайты с антивирусным ПО
      От Dmitriyln
      Не могу открыть сайты с антивирусным ПО. Провел проверку Dr.Web CureIt!, некоторые вирусы ПО не удалило. Компьютер работает не так быстро, как это было раньше. 
      CollectionLog-2024.04.15-22.11.zip
×
×
  • Создать...