Помогите разобраться с вирусами.

[Sandor]

Сеть отключил

Хорошо, пока не подключайте.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\syswow64\drivers\svchost.exe');
 TerminateProcessByName('C:\Windows\SysWOW64\drivers\taskmgr.exe');
 TerminateProcessByName('c:\windows\syswow64\wmiex.exe');
 TerminateProcessByName('c:\windows\temp\svchost.exe');
 StopService('Ddriver');
 StopService('WebServers');
 QuarantineFile('C:\Windows\system32\svhost.exe', '');
 QuarantineFile('c:\windows\syswow64\drivers\svchost.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\drivers\taskmgr.exe', '');
 QuarantineFile('c:\windows\syswow64\wmiex.exe', '');
 QuarantineFile('C:\Windows\TEMP\_MEI17122\python27.dll', '');
 QuarantineFile('c:\windows\temp\svchost.exe', '');
 DeleteSchedulerTask('Ddrivers');
 DeleteSchedulerTask('DnsScan');
 DeleteSchedulerTask('Microsoft\Windows\Bluetooths');
 DeleteSchedulerTask('WebServers');
 DeleteFile('C:\Windows\system32\svhost.exe', '');
 DeleteFile('c:\windows\syswow64\drivers\svchost.exe', '');
 DeleteFile('c:\windows\SysWOW64\drivers\svchost.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\drivers\taskmgr.exe', '');
 DeleteFile('c:\windows\syswow64\wmiex.exe', '');
 DeleteFile('c:\windows\SysWOW64\wmiex.exe', '64');
 DeleteFile('C:\Windows\TEMP\_MEI17122\python27.dll', '');
 DeleteFile('c:\windows\temp\svchost.exe', '');
 DeleteFile('C:\Windows\temp\svchost.exe', '64');
 DeleteService('Ddriver');
 DeleteService('WebServers');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.



Сделайте очередные повторные логи по правилам. (CollectionLog)

- - - - -Добавлено - - - - -

Для выполнения скрипта AVZ используете правильную, эту?

D:\Загрузки\AutoLogger\AutoLogger\AV\av_z.exe

[Snickers]

"Прислать запрошенный карантин" вверху темы - готово
Прикрепляю логи.
Для выполнения скрипта AVZ используете правильную, эту? - верно.

[Sandor]

D:\Загрузки\Dr.Web 12 Portable Scanner by HA3APET v4\drweb\dwengine.exe
D:\Загрузки\Dr.Web 12 Portable Scanner by HA3APET v4\drweb\dwarkdaemon.exe

Не нужно пользоваться сборками неизвестно от кого. При том, что у производителя итак существует бесплатная ежедневно обновляемая версия
https://free.drweb.ru/cureit/

Но пока не нужно.

Надеюсь, компьютер по-прежнему отключен от локальной сети.

Соберите новые логи FRST (старые можно удалить):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Snickers]

Надеюсь, компьютер по-прежнему отключен от локальной сети.

Да.
Отчёты прикрепляю.

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2022-01-25 12:30 - 2022-01-25 14:27 - 000201776 ____H C:\Windows\SysWOW64\svhost.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Snickers]

Всё сделал, лог прикрепляю.

[Sandor]

Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

[Snickers]

Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Уже только завтра. Спасибо.

[Sandor]

Хорошо. Только, напоминаю, не подключайте пока этот компьютер к сети.

[Snickers]

Еще раз, пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Готово. Да, отключен от сети по прежнему.

[Sandor]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt

[Snickers]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt

Готово. Ничего не нашло. Лог прикрепляю.

[Sandor]

Да, вижу.

Так ещё посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

[Snickers]

Да, вижу.

Так ещё посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

Готово. Прикрепляю.

[Sandor]

Выполните скрипт в UVS.

Код:

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\DRIVERS\TASKMGR.EXE
addsgn BA6F9BA21DE310565B9C27CD4090ED10D1100309C171D74B57827D2850D671B336FC59A8C11D1691630544EA4CAEB6FA7DDF014057DAB0EB2DE3A42FC74EA9BB 8 Trojan.Siggen8.6918 [DrWeb] 7

chklst
delvir

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
apply

deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему сообщению.


Соберите ещё раз контрольный образ автозапуска uVS.

P.S. Не нужно полностью цитировать предыдущее сообщение. Отвечайте в форме быстрого ответа внизу.

[Snickers]

Готово. Прикрепляю.

[Sandor]

Скачайте актуальную версию off-line installer Malwarebytes v.4. Перенесите на проблемный компьютер. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[Snickers]

Не получается установить

[Sandor]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Snickers]

Готово