Помогите с вирусом VID001

Printable View

17.09.2022, 17:31
Elena L

Вложений: 1

Помогите с вирусом VID001

Здравствуйте. Помогите пожалуйста с вирусом VID001. Антивирус не справляется.
17.09.2022, 17:32
Info_bot

Уважаемый(ая) [B]Elena L[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.09.2022, 22:05
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Леночка\appdata\roaming\temporx\vid001.exe');
DeleteFile('C:\Users\Леночка\appdata\roaming\temporx\uihost64.exe', '');
DeleteFile('c:\users\Леночка\appdata\roaming\temporx\vid001.exe', '');
DeleteFile('C:\Users\Леночка\AppData\Roaming\TempoRX\VID001.exe', '32');
DeleteFile('C:\Users\Леночка\AppData\Roaming\WindowsServices\helper.vbs', '32');
DeleteService('ekrnEpfw');
DeleteFileMask('c:\users\леночка\appdata\roaming\temporx', '*', true);
DeleteFileMask('c:\users\леночка\appdata\roaming\windowsservices', '*', true);
DeleteDirectory('c:\users\леночка\appdata\roaming\temporx');
DeleteDirectory('c:\users\леночка\appdata\roaming\windowsservices');
DeleteSchedulerTask('{38D3B36F-9F45-4A1A-A376-C88D96E27709}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
19.09.2022, 15:31
Elena L

Вложений: 1

Новый лог
19.09.2022, 17:28
Vvvyg

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O22 - Tasks: Adobe Flash Player PPAPI Notifier - C:\Windows\system32\Macromed\Flash\FlashUtil32_30_0_0_134_pepper.exe -check pepperplugin (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
19.09.2022, 19:01
Elena L

Вложений: 1

FRST выполнили
19.09.2022, 22:15
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2996448457-2753862967-3339209257-1000\...\Run: [] => [X]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => не найдено
Folder: C:\Users\Леночка\AppData\Roaming\WindowsServices
2022-09-19 16:20 - 2022-06-23 20:43 - 000000000 _RSHD C:\Users\Леночка\AppData\Roaming\WindowsServices
FirewallRules: [TCP Query User{B3C3C6EF-3A2D-4F76-82F4-8F72917E4D2C}D:\distrib\all activation 7\activators\windows 7 loader extreme edition v3.503 (napalum)\w7lxe.exe] => (Allow) D:\distrib\all activation 7\activators\windows 7 loader extreme edition v3.503 (napalum)\w7lxe.exe => Нет файла
FirewallRules: [UDP Query User{4952B7CC-2C66-4D5F-A0A9-964D6730BFCD}D:\distrib\all activation 7\activators\windows 7 loader extreme edition v3.503 (napalum)\w7lxe.exe] => (Allow) D:\distrib\all activation 7\activators\windows 7 loader extreme edition v3.503 (napalum)\w7lxe.exe => Нет файла
FirewallRules: [TCP Query User{0CE390B9-9CC2-4FFF-8CE4-B1231AF16F5B}C:\users\леночка\appdata\local\temp\kmsemul.exe] => (Allow) C:\users\леночка\appdata\local\temp\kmsemul.exe => Нет файла
FirewallRules: [UDP Query User{B4B0DDDE-627F-43C4-8F85-00C329A41A1C}C:\users\леночка\appdata\local\temp\kmsemul.exe] => (Allow) C:\users\леночка\appdata\local\temp\kmsemul.exe => Нет файла
FirewallRules: [{82EC2FDE-D825-4D89-89D2-8E0FED2103CF}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe => Нет файла
FirewallRules: [{8C9B1277-C6B4-4FEE-BE6B-B14C54215420}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe => Нет файла
FirewallRules: [{3516BDD2-B455-423C-A396-37092AAA8AE0}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe => Нет файла
FirewallRules: [{AB03EC60-53D5-4565-B6CA-D493A88F2F2B}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe => Нет файла
FirewallRules: [TCP Query User{474683B9-B973-474F-95D3-D96F1E8B66F3}C:\program files\qip 2012\qip.exe] => (Block) C:\program files\qip 2012\qip.exe => Нет файла
FirewallRules: [UDP Query User{29262CCA-DDC7-4CED-8761-65A8F3D3AC7F}C:\program files\qip 2012\qip.exe] => (Block) C:\program files\qip 2012\qip.exe => Нет файла
FirewallRules: [{C57802AE-33B5-448C-B4C4-026C25911BDA}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PanProcess.exe => Нет файла
FirewallRules: [{03864B48-8098-4790-98F6-AB1B56DA2718}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PanProcess.exe => Нет файла
FirewallRules: [{0AA942E8-9C22-4B3F-941F-09EF4EE537BD}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PandoraService.exe => Нет файла
FirewallRules: [{F5B2F2B7-3EE0-40B1-A277-DD86863AC4C1}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PandoraService.exe => Нет файла
FirewallRules: [{9E95737C-9174-44D4-A488-F59E0C243537}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PanProcess.exe => Нет файла
FirewallRules: [{D0FB6ADC-A4DD-46EE-BD63-44DF11F2A718}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PanProcess.exe => Нет файла
FirewallRules: [{54C47FA3-5F31-44AA-883F-723A2BE17C92}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PandoraService.exe => Нет файла
FirewallRules: [{45F31C1E-9F02-474B-BA0D-53007A39C6C3}] => (Allow) C:\Program Files\PANDORA.TV\PanService\PandoraService.exe => Нет файла
FirewallRules: [{6FE2B873-8596-4517-8DB8-DE2710345610}] => (Allow) C:\Users\Леночка\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Деинсталлируйте неподдерживаемые вендором программы:

Adobe Flash Player 23 ActiveX
Adobe Flash Player 23 NPAPI
Adobe Flash Player 32 PPAPI

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
20.09.2022, 16:59
Elena L

Вложений: 1

"Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj."
После распаковки требует обновить программу.
20.09.2022, 18:00
Vvvyg

[QUOTE][color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color][/QUOTE]Поэтому надо хотя бы критические уязвимости закрыть.

[QUOTE]Internet Explorer 10.0.9200.16521 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color][/QUOTE]
Установите Internet Explorer 11, [B]даже если им не пользуетесь[/B], это критически важный для безопасности компонент Windows.

[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте обязательно, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, до сих пор активно используется шифровальщиками, майнерами и троянами для проникновения в систему.

[QUOTE]Adobe Shockwave Player 12.1 v.12.1.3.153 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Reader XI - Russian v.11.0.00 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Acrobat Reader DC[/url][/b].
[/QUOTE]
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И на этом всё.
20.09.2022, 21:14
Elena L

Большое спасибо за рекомендации