Добрый день, снова проверил утилитой dr web cure it систему и снова обнаружееы угрозы 8, им же их удалил помогите проверить систему и избавиться от угроз
Printable View
Добрый день, снова проверил утилитой dr web cure it систему и снова обнаружееы угрозы 8, им же их удалил помогите проверить систему и избавиться от угроз
Уважаемый(ая) [B]Asymetrix[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Прошлую тему ещё не закрыли, ав Вы частично то же самое нахватали.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки (всё, что найдётся из списка)[/url]:[code]O4 - HKCU\..\Run: [bobro] = C:\Windows\system32\cmd.exe /c start vvv.dongdonger.org (sign: 'Microsoft')
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: bobro - C:\Windows\System32\cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v bobro /t REG_SZ /d "cmd.exe /c start vvv.dongdonger.org" /f (sign: 'Microsoft')
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')[/code]
Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
выполнил, не нашел только предпоследнюю строчку в hijack
Лог FRST сделайте.
выполнил
[QUOTE]12-03-2025 18:55:02 Revo Uninstaller's restore point - Kaspersky
12-03-2025 18:56:31 Revo Uninstaller's restore point - Malwarebytes version 5.2.5.158[/QUOTE]Антивирусы удалять нужно только штатными средствами, если деинсталлятор не отработал - есть средства удаления рт антивирусных вендоров.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
Task: {B6C2BE3A-A38C-4245-97AF-78A85808244B} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-18] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {67D188C9-C22B-4FCC-8470-48270083E9C1} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
Task: {48319F63-C2C6-4904-BF44-12EEAD412FAA} - System32\Tasks\NodeUpdate => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bohnfmnfgempfpmhanjabfapnphdpjeb
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jdemplpkclhibfaaeidioijoppmnohpi
C:\Users\bobro\AppData\Local\Google\Chrome\User Data\Default\Extensions\klmglikgommmjlooajkbplfaiocnfkne
2025-03-12 19:04 - 2025-03-12 19:04 - 000000037 _____ C:\Output.txt
2025-03-12 11:11 - 2025-03-12 11:11 - 000000344 _____ C:\Users\bobro\node.dat
2025-03-12 11:08 - 2025-03-13 11:32 - 000012063 _____ C:\Users\bobro\ex-list2.json
2025-03-12 11:08 - 2025-03-13 11:32 - 000000383 _____ C:\Users\bobro\bs-list.json
2025-03-12 11:08 - 2025-03-12 11:11 - 000000000 ____D C:\Program Files (x86)\Node
2025-03-12 11:08 - 2025-03-12 11:08 - 000000207 _____ C:\Users\bobro\e-user.json
2025-03-12 11:08 - 2025-03-12 11:08 - 000000103 _____ C:\Users\bobro\e-country.json
File: B:\qBittorrent\qbittorrent.exe
FirewallRules: [{F82B8D76-2F05-4F6E-B72B-A75C8160E85F}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{75F4B2AE-CF85-4B46-B36B-986C6AC78668}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{DFBB25D9-5BF7-42A8-AB1F-0CA7FAD244DB}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C8EA9D66-013E-4890-A1B2-A69822BB5BCF}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
endbatch:
CreateRestorePoint:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
все выполнил
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
del %SystemDrive%\USERS\BOBRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTERNET EXPLORER.LNK
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FPBLDMGPAEJOIPEGEFOBOPFCAPGADNJK\35.18_0\ADGUARD АНТИБАННЕР
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KHODKMLFCGCCPBOPJMIFFEHGKOFOGODM\10.2.4_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KLMGLIKGOMMMJLOOAJKBPLFAIOCNFKNE\35.18_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.35\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\APBIJPBBMIEKJCJGJKOFJGLGGFHAKAOM\35.19_0\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\KGNNPEACBDGJBPJNJMHHMBNJIAMMJAFE\35.20_0\EDGE RELEVANT TEXT CHANGES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\BOHNFMNFGEMPFPMHANJABFAPNPHDPJEB\35.20_0\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\JDEMPLPKCLHIBFAAEIDIOIJOPPMNOHPI\35.19_0\WEBRTC EXTENSION
apply
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
все выполнил
Порядок. Отчего рецидив был, неясно, что-то повторно запустили нехорошее.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
спасибо большое