После того, как я поймал троян, почистил антивирусом, решил прогнать в AVZ, вирусов софтина не нашла, но нашла много перехватов функций (см. лог). И немного новых процессов, которых точно раньше не было, но удалить их не получается
После того, как я поймал троян, почистил антивирусом, решил прогнать в AVZ, вирусов софтина не нашла, но нашла много перехватов функций (см. лог). И немного новых процессов, которых точно раньше не было, но удалить их не получается
Уважаемый(ая) [B]hellsugar2281[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
А если не смотреть в лог, внешне какая-либо проблема проявляется?
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files (x86)\PVneREeIU\SEFdGA.dll', '');
QuarantineFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', '');
DeleteSchedulerTask('EPWBZCLxEXgivRM');
DeleteSchedulerTask('MplZfvIwRaVeMvnTW');
DeleteSchedulerTask('MplZfvIwRaVeMvnTW.job');
DeleteSchedulerTask('VKDJ');
DeleteFile('C:\Program Files (x86)\PVneREeIU\SEFdGA.dll', '64');
DeleteFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', '32');
DeleteFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
Вот лог после использования скрипта.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Каких-либо внешних признаков не проявлялось
Дополнительно:
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Запустить проверку"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Отчёт скана и очистки.
Всё что было помещено в карантин я уже удалил в этой же утилите
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Готово, скан прилагаю ниже
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {325A97BF-D1C9-4219-BF82-6E7FA8F50B74} - System32\Tasks\EPWBZCLxEXgivRM => rundll32 "C:\Program Files (x86)\PVneREeIU\SEFdGA.dll",#1
Task: {83ABB14D-A25B-4B6A-95D0-B7A905388081} - System32\Tasks\MplZfvIwRaVeMvnTW => C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\EPWBZCLxEXgivRM.job => C:\Program Files (x86)\PVneREeIU\SEFdGA.dll
Task: C:\Windows\Tasks\MplZfvIwRaVeMvnTW.job => C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe
Folder: C:\Program Files (x86)\PVneREeIU
2021-03-31 05:01 - 2021-03-31 13:42 - 000000000 ____D C:\Program Files (x86)\PVneREeIU
2021-03-31 05:01 - 2021-03-31 09:09 - 000000522 _____ C:\Windows\Tasks\MplZfvIwRaVeMvnTW.job
2021-03-31 05:01 - 2021-03-31 09:09 - 000000330 _____ C:\Windows\Tasks\EPWBZCLxEXgivRM.job
2021-03-31 05:01 - 2021-03-31 06:02 - 000000000 ____D C:\Program Files (x86)\CNCBnTTMEIE
2021-03-31 05:01 - 2021-03-31 05:01 - 000003064 _____ C:\Windows\system32\Tasks\MplZfvIwRaVeMvnTW
2021-03-31 05:01 - 2021-03-31 05:01 - 000002650 _____ C:\Windows\system32\Tasks\EPWBZCLxEXgivRM
2021-03-31 05:01 - 2021-03-31 05:01 - 000000000 ____D C:\ProgramData\V_k_D_j
2021-03-31 05:01 - 2021-03-31 05:01 - 000000000 ____D C:\ProgramData\TplTLfNPXBvdddp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Полагаю, что мой случай не самый простой, раз столько геморроя
Если проблем не замечаете, завершаем:
1.[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Параметры[/B] прокрутите вниз и выберите [B]Удалить[/B].[/LIST]
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
Вроде помогло)
Заглянул в лог, SC ругается на Adblock, но я сам его устанавливал, так что всё ок, других проблем вроде не вижу
[quote="hellsugar2281;1519408"]ругается на Adblock, но я сам его устанавливал[/quote]
Выглядит подозрительным - версия 1.0.0.0 и скрыт. Возьмите на заметку, а лучше замените на что-либо более известное и авторитетное (если в этом есть необходимость).
Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]
Огромное спасибо, и да, какой антивирус посоветуете?
Смотрите сравнительные тесты, желательно авторитетные и сделайте выбор самостоятельно.
[url]https://selabs.uk/reports/2020/[/url]
[url]https://www.av-comparatives.org/tests/summary-report-2020/[/url]
[url]https://www.av-test.org/en/antivirus/home-windows/[/url]
Можно [url=https://www.comss.ru/list.php?c=utils]бесплатную версию[/url].
спасибо)
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]1[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\program files (x86)\pvnereeiu\sefdga.dll - [B]not-a-virus:HE=
UR:AdWare.Win32.Generic[/B][/LIST][/LIST]