Здравствуйте! Комп заражён Trojan:Win32/Floxif.E, прошу помощи в его удалении. Спасибо)
Printable View
Здравствуйте! Комп заражён Trojan:Win32/Floxif.E, прошу помощи в его удалении. Спасибо)
Уважаемый(ая) [B]nikitin78[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\Common Files\System\symsrv.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '');
QuarantineFile('C:\Program Files\Common Files\System\symsrv.dll', '');
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '');
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '32');
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '64');
DeleteFile('C:\Program Files\Common Files\System\symsrv.dll', '');
DeleteService('gybpprut');
DeleteService('iczbqmku');
DeleteService('kmmdylnk');
DeleteService('lbjgogpd');
DeleteService('mjwvpvvl');
DeleteService('nztwvhlk');
DeleteService('tsriygek');
DeleteService('uczvphbh');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\smart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\MSSQL$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\MSSQLFDLauncher$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Windows\ServiceProfiles\MSSQLLaunchpad$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\smart\AppData\Local\Microsoft\OneDrive\OneDrive.exe"][/CODE]Отчёт о работе прикрепите.
Сделайте новый лог Autologger.
Архив карантина quarantine.zip система не даёт прикрепить, ошибка "Unknown error. File not uploaded" . Прикрепил его к данному сообщению.
Защитник Windows ругается на те же файлы, что и до лечения:
file: C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\GDl32.dll
file: C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\OLE23.dll
file: C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\PSAPl.dll
file: C:\Program Files\Common Files\System\symsrv.dll
file: C:\Users\smart\AppData\Local\Temp\conres.dll
file: C:\Windows\SysWOW64\dlcoer.dll
file: C:\Windows\Temp\conres.dll
Выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
TerminateProcessByName('c:\program files (x86)\internet explorer\iexplore.exe');
QuarantineFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\GDl32.dll', '');
QuarantineFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\OLE23.dll', '');
QuarantineFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\PSAPl.dll', '');
QuarantineFile('C:\WINDOWS\SYSWOW64\dlcoer.dll', '');
QuarantineFileF('C:\Users\smart\AppData\Local\Temp', '*.dll, *.sys, *.bat, *.vbs, *.js', false, '', 0, 0);
QuarantineFileF('C:\Windows\Temp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', false, '', 0, 0);
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '');
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '32');
DeleteFile('C:\PROGRA~1\COMMON~1\System\symsrv.dll', '64');
DeleteFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\GDl32.dll');
DeleteFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\OLE23.dll');
DeleteFile('C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat\PSAPl.dll');
DeleteFile('C:\Program Files\Common Files\System\symsrv.dll', '');
DeleteFile('C:\WINDOWS\SYSWOW64\dlcoer.dll', '');
DeleteFileMask('C:\Users\smart\AppData\Local\Temp', '*.dll', false);
DeleteFileMask('C:\Windows\Temp', '*.dll', false);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]После перезагрузки прикрепите карантин.
Отключите временно встроенный антивирус ("Защитник") - у него может быть ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Файл карантина приложил. Вверху всё также не добавляется
Хорошо, жду полный образ автозапуска uVS.
Файл не могу приложить) система говорит, что исчерпал лимит по объёму вложений. Архив весит 846 Кб
В облако и ссылку в тему.
[url]https://disk.yandex.ru/d/xZgxobg0gLlN9g[/url]
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CRYPTO PRO\APPCOMPAT\CPADVAI.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\SANGFOR\SSL\SANGFORPWEX\SANGFORVPNLIBCRYPTO-1_1.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CRYPTO PRO\APPCOMPAT\CPCRYPT.DLL.DAT
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CRYPTO PRO\APPCOMPAT\CPCRYPT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YBSOFT\SERVICECENTER\DATABASEMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOBILEBRSERV\MBBSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ULTRAVIEWER\ULTRAVIEWER_SERVICE.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SYMSRV.DLL
adddir C:\Program Files\Common Files\System
adddir C:\Program Files (x86)\Common Files\Crypto Pro\AppCompat
addsgn 729053925465C9CB0AD4AED1DAC81207350742F69904E02F060E3A575D46E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 16 Win32/Floxif.E [ESET-NOD32] 7
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CRYPTO PRO\APPCOMPAT\ERROR.LOG
chklst
delvir
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, выложите в облако и дайте ссылку [B][U]в личном сообщении[/U][/B].
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[url=http://virusinfo.info/showthread.php?t=130567]Удалите вложения[/url], относящиеся к самым старым темам.
Расплодился вирус по разным папкам. Что за программа в папке C:\Program Files (x86)\Sangfor - имеете представление?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
C:\Program Files (x86)\Sangfor - не знаю, что за программа, не устанавливал. Требуемые файлы приложил в одном архиве
Зараза по всем приложениям раскидана.
Сделайте проверку и лечение (лучше в безопасном режиме, с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
Первый лог с настройками по умолчанию. Второй со всеми галочками, со сканированием всего диска С. Третий лог - сканирование после лечения и перезагрузки компьютера.
Похоже, чисто.
Защитник молчит с тех пор?
Да, сейчас всё хорошо. Спасибо за помощь)
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.