Помогите пожалуйста удалить вирус

**Satelitie** · 27.11.2023, 11:08

В диспетчере грузил процесс (утилита поиска строк (grep)), его можно было завершить, но через какое то время он запускался снова.

При открытии расположении файла открывался find.exe, я удалил его с помощью программы unlocker.

Теперь Gpu грузит другой процесс - (COM Surrogate) по тому же принципу. Из поиска в интернете можно предположить что это вирус Flocker но поискав его в компе ничего не нашел. Есть только CaphAnchor про который ничего нет в интернете, но rkill завершает его процессы как вредоносные. Пытался удалить эту папку, но она появляется при перезапуске пк, заблокировать папку тоже не получается.

Еще вирус закрывает доступ к сайтам антивирусов (В файле hosts ничего нет, в свойствах TCP/IPv4 выставлено автоматическое получение DNS серверов)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.11.2023, 11:10

Уважаемый(ая) Satelitie, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 27.11.2023, 13:30

Не нужно удвалять системные файлы, майнер запускает их и инжектирует в процессы свою нагрузку.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\behave-column\bin.exe', '');
 QuarantineFile('C:\Users\Satelite\AppData\Local\Programs\4ac27e5d\d8ca182948.msi', '');
 QuarantineFile('c:\windows\System32\evntagnt.dll', '');
 QuarantineFile('C:\WINDOWS\SysWOW64\evntagnt.dll', '');
 QuarantineFileF('c:\program files\wproxy', '*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\behave-column', '*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\CaphAnchor-daf74178-9f6b-4f6e-997d-d1b9561a2055', '*', true, '', 0 , 0);
 DeleteFile('c:\users\satelite\appdata\local\programs\4ac27e5d\d8ca182948.msi', '64');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\behave-column\bin.exe', '64');
 DeleteFile('C:\Users\Satelite\AppData\Local\Programs\4ac27e5d\d8ca182948.msi', '64');
 DeleteFile('c:\windows\System32\evntagnt.dll', '');
 DeleteFile('C:\WINDOWS\SysWOW64\evntagnt.dll', '64');
 DeleteFileMask('c:\programdata\behave-column', '*', true);
 DeleteFileMask('C:\ProgramData\CaphAnchor-daf74178-9f6b-4f6e-997d-d1b9561a2055', '*', true); DeleteFileMask('c:\program files\wproxy', '*', true);
 DeleteDirectory('c:\program files\wproxy');
 DeleteDirectory('c:\programdata\behave-column');
 DeleteDirectory('C:\ProgramData\CaphAnchor-daf74178-9f6b-4f6e-997d-d1b9561a2055');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_c8f6a9\Parameters', 'ServiceDll', '64');
 DeleteSchedulerTask('tabulate-S-1-5-21-4164730020-623376525-3126225281-1001');
 DeleteSchedulerTask('WProxy\WinProxy');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Помогите пожалуйста удалить вирус (заявка № 228387)

Опции темы