Новая папка.exe

После шараги принес флешку и на флешке и на пк появился вирус создался он на диске с и д после появились 3 процесса в диспетчере после проверки приложением AVZ >>> C:\WINDOWS\system32\VideoDriver.exe ЭПС: подозрение на Файл с подозрительным именем (CH - Autorun) (высокая степень вероятности)Файл успешно помещен в карантин (C:\WINDOWS\system32\VideoDriver.exe)
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\VideoDriver.exe)
Карантин с использованием прямого чтения - ошибка

Уважаемый(ая) [B]cutexakin[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите [B][URL="https://1drv.ms/u/s!Aguwh-yruJSWlHK-GXHLCIvZVv2K?e=UW0E1K"]AV block remover[/URL][/B] или сокращённо [B]AVbr[/B] - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот [B]вирус устанавливает RMS[/B]. [B][I]Так что ваши данные тоже могли быть похищены.[/I][/B]

[B]Для использования утилиты необходимо:[/B]
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

[B]В ходе работы утилиты[/B] рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

[B]Утилита удаляет сам майнер и его производные.[/B]
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помогите" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


[B]После того как пролечитесь им соберите свежие логи по правилам.[/B]

Здравствуйте, сделал как вы все сказали прикрепляю лог в диспетчере процессы так и остались после лечения и папки на дисках с и д так-же сама не удаляются

Знакома ли вам следующая служба, она похоже на вредоносное ПО [/URL]:
[CODE]
O23 - Service S2: Reserve Service - C:\Windows\Reserve Service\daemon\service.exe
[/CODE]

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - MSConfig\startupreg: VideoDriver [command] = C:\WINDOWS\system32\VideoDriver.exe (HKLM) (2021/05/24) (file missing)
O4-32 - HKLM\..\Run: [VideoDriver] = C:\WINDOWS\system32\VideoDriver.exe (file missing)
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\admin\appdata\local\temp\ip\installpack.exe');
QuarantineFile('c:\users\admin\appdata\local\temp\ip\installpack.exe','');
QuarantineFile('C:\WINDOWS\system32\VideoDriver.exe','');
QuarantineFile('C:\Windows\Reserve Service\daemon\service.exe','');
DeleteFile('c:\users\admin\appdata\local\temp\ip\installpack.exe','32');
DeleteFile('C:\WINDOWS\system32\VideoDriver.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Cделал все по вашим действиям лог с adw cleanera прикрепляю запрошенный карантин тоже прислал

Карантин не работает, могли бы пожалуйста проверить следующий файл на портале [URL="https://www.virustotal.com/gui/"]virustotal.com[/URL]:
[CODE]
O23 - Service S2: Reserve Service - C:\Windows\Reserve Service\daemon\service.exe
[/CODE]
и приложить ссылку с результатом в следующей сообщение.

Проверил файл как вы говорили оставляю ссылку [url]https://www.virustotal.com/gui/file/917e949ba813fa848feec9cd724cea3a642bb25215e564fcb37e362de4f36999/detection[/url]

Сообщите, что с проблемой?

Проблема решена спасибо

Проделайте завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.



Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите [URL="https://www.comss.ru/page.php?id=1813"]SecurityCheck by glax24 & Severnyj[/URL], сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [COLOR="#0000FF"]C:\SecurityCheck\SecurityCheck.txt[/COLOR]
Прикрепите этот файл к своему следующему сообщению.

adw cleaner как вы сказали прокрутил вниз удалил frst у меня нету 2 пунк я скачал прикрепляю лог

Ознакомьтесь с рекомендациями:

------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Node.js v.13.4.0 [color=red][b]Внимание! [url=https://nodejs.org/en/download/current/]Скачать обновления[/url][/b][/color]
[color=blue][b]^[i]Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.[/i]^[/b][/color]
Python 2.7.18 v.2.7.18150 [color=red][b]Внимание! [url=https://www.python.org/downloads/windows/]Скачать обновления[/url][/b][/color]

Проблема решена спасибо