Не удаляемые вирусы

[Came Bue 0]

Скачал какой то exe репак, полетели трояны, никак не удаляются.

 

CollectionLog-2022.02.21-15.43.zip report1.log report2.log

[Sandor 1 254]

Здравствуйте!

 

11 минут назад, Came Bue сказал:

полетели трояны

Как это проявляется внешне?

 

В логах пока ничего подобного не замечено.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Came Bue 0]

4 hours ago, Sandor said:

Здравствуйте!

 

Как это проявляется внешне?

 

В логах пока ничего подобного не замечено.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Через каждые 3 минуты защитник виндовс спамит сообщения об угрозе, но не удаляет файлы которые показывает 

Addition.txt FRST.txt

[Sandor 1 254]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1190440757-158054799-2499581510-1001\...\MountPoints2: {2f92ad9d-1c9b-11ec-ac92-d85ed311c2e5} - "E:\HiSuiteDownLoader.exe" 
  Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  C:\ProgramData\Setup\update.exe
  Folder: C:\ProgramData\Setup
  AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
  AlternateDataStreams: C:\Users\Kirill\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Kirill\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6338]
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\support\*.log"
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sandor 1 254]

p.s.

Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

[Came Bue 0]

Fixlog.txt

[Sandor 1 254]

Что сейчас с проблемой?

 

Вижу, что был установлен, но давайте повторим сканирование для верности:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Came Bue 0]

Сейчас перестал пинговать защитник,на диске C вроде как проверки больше ничего не видят но теперь при ручном сканировании стал видеть троян уже в диске D, по этому пути нету такой папки, даже с "показом скрытых папок" 

Текстовый файл.txt

[Sandor 1 254]

Что появится, если нажать на кнопку Действия?

[Came Bue 0]

Теперь не могу зайти в этот раздел )) 

 

 

Это  Malwarebytes не давал открыть 

Удалил, повторил сканирование защитником 

Вот "Действие", если выбрать в карантин или удалить, ничего не происходит , оно не удаляет и не помещает в карантин, а троян так и висит ) 

[Sandor 1 254]

Отключите временно антивирус (Malwarebytes можно деинсталлировать).

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Уточнение - это не "троян" висит, а только упоминание о нём.

[Came Bue 0]

Addition.txt FRST.txt

[Sandor 1 254]

• Скрипт выполните в безопасном режиме.
• Выделите следующий код:

  Start::
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\*.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\support\*.log"
  startpowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  set-mppreference -mapsreporting basic -Force
  set-mppreference -DisableRealtimeMonitoring $false -Force
  set-mppreference -DisablePrivacyMode $true -Force
  set-mppreference -DisableIOAVProtection $false -Force
  set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
  set-mppreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  get-mppreference
  endpowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Came Bue 0]

Fixlog.txt

[Sandor 1 254]

Та запись всё ещё есть в Журнале защиты?