и webisida
Просьба помочь избавиться от зоопарка
Заранее спасибо
и webisida
Просьба помочь избавиться от зоопарка
Заранее спасибо
Уважаемый(ая) [B]maxbm[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\USER\AppData\Roaming\svchost.exe','');
QuarantineFile('C:\Windows\system32\rdpwrap.dll','');
SetServiceStart('spoolsrvrs', 4);
SetServiceStart('TrkWk', 4);
SetServiceStart('werlsfks', 4);
DeleteService('werlsfks');
DeleteService('TrkWk');
DeleteService('spoolsrvrs');
TerminateProcessByName('c:\windows\fonts\web\winlogon.exe');
TerminateProcessByName('c:\windows\fonts\web\webisida.browser.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
TerminateProcessByName('c:\windows\fonts\web\taskhost.exe');
QuarantineFile('c:\windows\fonts\web\gecko\plugin-container.exe','');
TerminateProcessByName('c:\windows\fonts\web\gecko\securesurf.browser.client.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Rposano\NetFramework.exe');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
DeleteFile('C:\ProgramData\Microsoft\DRM\Rposano\NetFramework.exe','32');
DeleteFile('c:\windows\fonts\web\gecko\securesurf.browser.client.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
DeleteFile('c:\windows\fonts\web\taskhost.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
DeleteFile('c:\windows\fonts\web\webisida.browser.exe','32');
DeleteFile('c:\windows\fonts\web\winlogon.exe','32');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
DeleteFile('C:\Users\USER\AppData\Roaming\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Chrom','x32');
DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetLibrary');
DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetLibrary');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.
[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
во вложении.
Надеюсь, все получилось.
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
во вложении
1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
File: C:\Windows\SysWOW64\___seth.exe
HKLM-x32\...\Run: [] => [X]
IFEO\sethc.exe: [Debugger] seth.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-09-25 23:59 - 2019-09-25 23:59 - 000000000 ____D C:\Users\USER\AppData\Roaming\Process Hacker 2
c:\windows\fonts\web
c:\windows\inf\netlibrariestip\000d
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
во вложении
C:\Windows\SysWOW64\___seth.exe удалите вручную.
Проблема решена?
Добрый день.
Такой файл не найден в папке
Проблема, полагаю, решена.
Спасибо за помощь!
[quote="maxbm;1505810"]Такой файл не найден в папке[/quote]У него атрибуты [B]скрытый системный[/B] установлены.
C:\Windows\autorun.lnk - на какой файл ссылается этот ярлык?
1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
C:\Windows\SysWOW64\___seth.exe
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
[QUOTE=thyrex;1505817]У него атрибуты [B]скрытый системный[/B] установлены.
C:\Windows\autorun.lnk - на какой файл ссылается этот ярлык?
[/list][/QUOTE]
Ярлык ссылается на C:\Windows\Fonts\web\winlogon.exe - это один из удаленных в предыдущей итерации вредоносных файлов. Самого объекта уже нет.
Ярлык следует удалить, верно я понимаю?
Файл C:\Windows\SysWOW64\___seth.exe удален вручную после изменения атрибутов - вы были абсолютно правы.
[quote="maxbm;1505904"]Ярлык следует удалить, верно я понимаю?[/quote]Именно так
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]62[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\fonts\web\taskhost.exe - [B]UDS:DangerousObject.Mul=
ti.Generic[/B][*] c:\windows\system32\rdpwrap.dll - [B]not-a-virus:RemoteAdmin.Wi=
n32.RDPWrap.h[/B][/LIST][/LIST]