Вирусы появляются снова!?

[wutan]

Доброго времени суток форумчане! После проверки на вирусы Д.Вэб КурИт целевыми указаниями с папкой вирусы появляются снова

[Info_bot]

Уважаемый(ая) wutan, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[SQ]

Добрый день

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk    ->    C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"
O4 - HKCU\..\Run: [hsgwxhg] = C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"
O4 - User Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk    ->    C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe "C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js"

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Админ\appdata\roaming\drpsu\alice\cloud.exe','');
 QuarantineFile('C:\Users\Админ\appdata\roaming\temporx\uihost64.exe','');
 QuarantineFile('C:\Users\Админ\appdata\roaming\tempor\nscpucnminer64.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Roaming\TempoRX\VID001.exe','');
 QuarantineFile('C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js','');
 QuarantineFile('C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe','');
 DeleteFile('C:\Users\Админ\AppData\Local\kqtary\uitgpgwtk64.exe','32');
 DeleteFile('C:\Users\Админ\AppData\Local\kqtary\mijxdqrpa.js','32');
 DeleteFile('C:\Users\Админ\AppData\Roaming\TempoRX\VID001.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hsgwxhg','x32');
 DeleteFile('C:\Users\Админ\appdata\roaming\tempor\nscpucnminer64.exe','32');
 DeleteFile('C:\Users\Админ\appdata\roaming\temporx\uihost64.exe','32'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[regist]

wutan, на каком форуме будете продолжать лечение?
Здесь или на кибере?

[wutan]

У вас, так как я здесь впервые и как бы там на кибере я железно знаю ответят помогут, а по вашему сайту как бы сомневался что да как

[wutan]

Доброго времени суток ребят!! Вот незадача, вирус под названием "VID001.exe" не удалился

- - - - -Добавлено - - - - -

Кстати когда AVZ выполнял скрипт там в окошке статуса были прописаны красным шрифтом пару строк которые как я понял говорили об ошибках и как бы вот....а ещё я не сразу после перезагрузки, после работы скрипта AVZ, а после проверки Adw выполнил скрипт по созданию логов AVZ, тоже вот...

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[wutan]

Так ну вроде всё как в описании сделал!

- - - - -Добавлено - - - - -

А ещё вот...

[SQ]

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  HKLM\...\Winlogon: [Shell] explorer.exe
  HKU\S-1-5-21-4076941815-1334683785-3787336036-1000\...\Run: [] => [X]
  File: C:\VID001.exe
  Zip: C:\VID001.exe
  2021-08-05 19:21 - 2021-06-25 22:21 - 002361084 _____ C:\VID001.exe
  Zip: C:\VID001.exe
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер возможно будет перезагружен.

Код:

Error: (08/09/2021 07:39:22 AM) (Source: Ntfs) (EventID: 137) (User: )
Description: Используемый по умолчанию диспетчер ресурсов транзакций на томе D: обнаружил неповторяемую ошибку, и его запуск невозможен.  Данные содержат код ошибки.

Проверьте диск d: на ошибки

Пролечите с помощью KVRT.

[wutan]

Так ну вроде всё огромнейшее Вам спасибо уважаемые мои новые друзья!!!
KVRT- огонь утилита, как и какие кнопки репутации прожать чтоб тему закрыть!?

[SQ]

Это был Worm.NSIS.BitMin.d (Kaspersky), поэтому он восставливался быстрее, чем утилита.

Проделайте завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.