Trojan.Win32.Bazon.a

**HROM's** · 18.05.2020, 09:41

Здравствуйте, господа! Сегодня решил для одной программы автоматическую активацию подыскать, и вот нашёл... В папке оказался вирус, который Касперский определяет как PDM:Trojan.Win32.Bazon.a; причём сам Касперский его не исправляет и не замечает, а тем временем, говорят, он мои персональные файлы ворует! Всё тот же Касперский говорит, что объектом является C:\Новая папка\ccleaner_pro_5.66.7716-Repack\data0.bin; кою я не могу удалить, как и остальные файлы в той папке!

Spy Hunter её также не берёт, так что я надеюсь на вашу помощь! Файл с логами я прикрепил, так что жду вашей поддержки!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.05.2020, 09:42

Уважаемый(ая) HROM's, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 18.05.2020, 20:31

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4 - HKCU\..\StartupApproved\Run: [Windscribe] = C:\Windscribe\Windscribe.exe -os_restart (file missing) (2020/05/18)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**HROM's** · 18.05.2020, 21:05

Вот, пожалуйста. всё сделал и даже в архиве вам прислал.

**Vvvyg** · 18.05.2020, 21:25

Деинсталлируйте SpyHunter 5.

Отключите до перезагрузки антивирус Касперского.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
C:\Новая папка\ccleaner_pro_5.66.7716-Repack
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\home\AppData\Local\MEGAsync\ShellExtX64.dll -> No File
FirewallRules: [{8067AFC6-A17D-42B0-95CC-0861C3D53327}] => (Allow) C:\Users\home\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [TCP Query User{DCDEFC45-293D-4106-8198-9C446A6D8F9E}C:\windscribe\wsappcontrol.exe] => (Allow) C:\windscribe\wsappcontrol.exe => No File
FirewallRules: [UDP Query User{6EE80C28-2C26-44C7-8B48-38B81E5F9DBD}C:\windscribe\wsappcontrol.exe] => (Allow) C:\windscribe\wsappcontrol.exe => No File
FirewallRules: [{EE9DF812-2F27-4DE5-84A2-38210EC66F6E}] => (Block) C:\windscribe\wsappcontrol.exe => No File
FirewallRules: [{48B89E8C-3CB7-4F6C-A41F-85CAA6310B2C}] => (Block) C:\windscribe\wsappcontrol.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**HROM's** · 18.05.2020, 21:59

Хорошо, сделал

**Vvvyg** · 18.05.2020, 22:12

C:\Новая папка\ccleaner_pro_5.66.7716-Repack => moved successfully

Проблема решена?

**HROM's** · 18.05.2020, 22:15

Да, она удалилась! И это означает, что тот файл с трояном тоже удалён, и его больше нет?..

Благодарю вас преогромнейше, приятного вам вечера!

**Vvvyg** · 19.05.2020, 07:14

Да, именно так. Проверьте антивирусом после этой операции:
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.