Кажется на компьютере имеется майнер, доктор веб определяет его в папке ProgramData\WindowsTask\... Конечно, папки "WindowsTask" я так и не нашел, хотя стоит показ скрытых файлов и папок.. Так же сегодня меня выкинуло из гугл аккаунта с подозрением на вредоносное ПО.. Помогите плз!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) _Yuti_, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders: TStringList; procedure FillList; begin PD_folders:= TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('Kaspersky Lab Setup Files'); PD_folders.Add('Kaspersky Lab'); PD_folders.Add('MB3Install'); PD_folders.Add('Malwarebytes'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('Doctor Web'); PF_folders:= TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('Zaxar'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Kaspersky Lab'); PF_folders.Add('Malwarebytes'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders:= TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path: string; AFL: TStringList); var i: integer; A: integer; s: string; r: boolean; begin for i:= 0 to AFL.Count - 1 do begin fname:= NormalDir(path + AFL[i]); r:= False; if DirectoryExists(fname) then begin s:= 'Found ' + fname + ' ('; A:= GetAttr(fname); if A and 4 = 4 then begin r:= True; s:= s + 'S'; end; if A and 2 = 2 then begin r:= True; s:= s + 'H'; end; s:= s + 'D)'; AddToLog(s); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); if r then FSResetSecurity(fname); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin Clearlog; FillList; ProgramData:= GetEnvironmentVariable('ProgramData') + '\'; ProgramFiles:= NormalDir('%PF%'); ProgramFiles86:= NormalDir('%PF% (x86)'); Del_folders(ProgramData, PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun') then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun'); if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun') then begin ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); end; RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); PD_folders.Free; PF_folders.Free; O_folders.Free; end; begin AV_block_remove; fname:= ProgramData + 'RDPWinst.exe'; if FileExists(fname) then DeleteFile(fname); DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl'); DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost'); DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw'); ExecuteSysClean; SaveLog(GetAVZDirectory +'AV_block_remove.log'); ExecuteRepair(9); RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
1. Выделите следующий код:
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).Код:Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-3244160322-329348062-4198280616-1001\...\MountPoints2: {57aebe7e-4ead-11ea-bf56-086266356bb1} - "F:\AutoRun.exe" HKU\S-1-5-21-3244160322-329348062-4198280616-1001\...\MountPoints2: {a4bd73d9-849c-11e9-bedf-086266356bb1} - "H:\Autorun.exe" GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION HKU\S-1-5-21-3244160322-329348062-4198280616-1001\...\StartupApproved\Run: => "MediaGet2" FirewallRules: [{920A36B1-E207-45D2-9860-0391CB17AEC6}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File FirewallRules: [TCP Query User{086F171F-A873-408B-9605-5A14D51EFD33}D:0\gaimes\gtav\gta5.exe] => (Allow) D:0\gaimes\gtav\gta5.exe => No File FirewallRules: [UDP Query User{CE755487-887B-4EA4-AF7F-2C4B7FD2A518}D:0\gaimes\gtav\gta5.exe] => (Allow) D:0\gaimes\gtav\gta5.exe => No File FirewallRules: [TCP Query User{E0149D9B-B777-40FF-8EEC-0EA73FC8F718}D:0\gaimes\gtav\gta5.exe] => (Allow) D:0\gaimes\gtav\gta5.exe => No File FirewallRules: [UDP Query User{436E19BF-3EF3-4BC1-93EB-7AFA5F8377A8}D:0\gaimes\gtav\gta5.exe] => (Allow) D:0\gaimes\gtav\gta5.exe => No File FirewallRules: [TCP Query User{12FD0B64-324B-41FE-8B64-208E9D6E400C}D:0\игорки\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) D:0\игорки\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => No File FirewallRules: [UDP Query User{35254561-079A-4805-A27A-39FBD3ACD2B6}D:0\игорки\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) D:0\игорки\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => No File FirewallRules: [{1E542791-A964-4A16-9199-46CD5FA51FEF}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File FirewallRules: [{4AEB0B22-EC5A-4F80-BEF7-DE16ADEA3287}] => (Block) LPort=445 FirewallRules: [{53EEB990-BCF9-49E5-B0E0-ADED6DE44770}] => (Block) LPort=445 FirewallRules: [{3C2AEC60-46A4-4E73-BAED-7CD7634D89B8}] => (Block) LPort=139 FirewallRules: [{AECE6E80-8BCA-4E9B-ACF7-47976F281ACB}] => (Block) LPort=139 FirewallRules: [{3FCB6281-3C91-49A4-AD7B-BDEBDC568E54}] => (Allow) LPort=3389 FirewallRules: [{BD98124F-6BCB-43EB-9789-DE6576379388}] => (Allow) LPort=3389 Reboot: End::
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, спасибо
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\programdata\windows\install.vbs - [B]Trojan.VBS.Starter.mj[/=
B]
Уважаемый(ая) _Yuti_, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
