Вирус Flock и разные проблемы. [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.DNSChanger.gen]

[Shum4]

Все по порядку и слитно: занес вирус на флешке, нашел папку с вирусом, запретил доступ к папке с вирусом дабы она не запускала майнер(пробовал удалять, но она появляется снова), каким-то чудом поставил пару бесплатных антивирусов, ничего не изменилось кроме того что антивирусы начали кидать в карантин все подряд, в том числе и документы логов, которые я получил в результате сканирования системы AutoLogger-ом(стоит антивирус AVG и Comod, удалить файл из карантина или песочницы не получается), антивирусы удалить не смог по какой-то причине, что делать дальше не понятно. В целом уже замаялся и надеюсь что хоть здесь какая-нибудь добрая душа поможет мне с этой садомией.

[Info_bot]

Уважаемый(ая) Shum4, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте логи.

[Shum4]

Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте логи.

От туда я и скачивал программу, но логи все равно пропадают.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Shum4]

Сделал все как написано, вылезло уведомление о том что образ сохранен, но в папке его опять не оказалось. При повторном сканировании произошло тоже самое.

- - - - -Добавлено - - - - -

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Могу предположить что файлы логов не дает использовать антивирус Comod. И все бы хорошо, но удалить у меня его не получается, более того, он просто не запускается в основном аккаунте. Его можно запустить в аккаунте администратора, но это толком ничего не дает. При попытке его удалить на каком либо акке, он просто не удаляется, висит окно установщика, а потом на секунду вылазит что-то типа "винда настраивает приложение Comod antivirus". Пока что это вся информация которая у меня есть.

- - - - -Добавлено - - - - -

Смог таки найти как удалить эту дрянь-антивирус, сделал сканирование, логи прикреплю.

- - - - -Добавлено - - - - -

Смог таки найти как удалить эту дрянь-антивирус, сделал сканирование, логи прикреплю.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
setdns Ethernet (отладчик ядра)\4\{08BB28D4-79FE-460E-B38A-265B082AFCCB}\8.8.8.8,8.8.4.4
setdns Ethernet\4\{522542B6-4919-4C2D-AE0E-A1389ED788E7}\8.8.8.8,8.8.4.4
zoo %SystemDrive%\USERS\SHUM\DESKTOP\11_5_REDDOT.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\ADSHIELD
dirzooex %SystemDrive%\PROGRAMDATA\FLOCK
deldir %SystemDrive%\PROGRAMDATA\FLOCK
deltmp
dnsreset
delref %SystemDrive%\PROGRAMDATA\FLOCK\FIND.EXE
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\77.0.3865.90\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0361677.INF_AMD64_38E4D1C55ADC8927\B361561\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CREENCAPTURE\AGENT.EXE
delref %SystemDrive%\USERS\SHUM\APPDATA\LOCAL\PROGRAMS\GUILDED\GUILDED.EXE
delref %SystemDrive%\GAMES\DOOR KICKERS 2 V0.9\DOORKICKERS2.EXE
delref %SystemDrive%\GAMES\THEY ARE BILLIONS\STEAMCLIENT_LOADER.EXE
delref %SystemDrive%\PROGRAMDATA\VКDJ\VКDJ.EXE
delref %SystemDrive%\GAMES\THE BATTLE OF POLYTOPIA V2.0.38\POLYTOPIA.EXE
apply
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте, распакуйте и запустите эту утилиту.

После перезагрузки удалите остатки Comodo с помощью Comodo Uninstaller Tool.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Shum4]

Не могу загрузить архив, потому что выдает это.

[Vvvyg]

Удалите вложение - самое большое, полный образ автозапуска uVS, например.
Или в облако и ссылку сюда.

[Shum4]

Вот

[Vvvyg]

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Это ещё не сделали.

Проблемы когда начались с Flock и после установки какого приложения? Если помните что и откуда качали, скиньте мне в личку адрес.

Transmission version 3.00.0 сами устанавливали?

Загрузите систему в безопасном режиме.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{3a5cbbd8-007d-11eb-97e9-806e6f6e6963}: [NameServer] 185.201.47.42,142.4.214.15
Folder: C:\ProgramData\Flock
2021-02-18 15:00 - 2021-02-18 15:09 - 000000000 ____D C:\ProgramData\Flock
2021-02-17 14:21 - 2021-02-17 14:21 - 000008155 _____ C:\WINDOWS\system32\Drivers\etc\hosts.tmp
2021-02-13 22:39 - 2021-01-18 04:46 - 000000000 ____D C:\ProgramData\VКDJ
AdShield 1.0.0.0 (HKLM-x32\...\{2438ec02-7a3a-4eb9-9ed6-68ee32be1b53}) (Version: 1.0.0.0 - Limbo Solutions) Hidden
HKLM\...\StartupApproved\Run32: => "Avira SystrayStartTrigger"
HKLM\...\StartupApproved\Run32: => "COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}"
FirewallRules: [{0DD0F1E5-B273-4296-BDA5-FF76D1AF6235}] => (Allow) C:\Users\shum\AppData\Local\Temp\DriverPack-20201121204921\tools\aria2c.exe => No File
FirewallRules: [{C9A0692E-D7B4-432C-9CE6-3AA13A2A6372}] => (Allow) C:\Users\shum\AppData\Roaming\DRPSu\Alice\cloud.exe => No File
FirewallRules: [{4C42F149-36A0-491C-83C9-269815DE12D6}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => No File
FirewallRules: [{5DB7B404-2262-42B2-A7BF-2613D01A7592}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => No File
FirewallRules: [TCP Query User{30704C49-8F94-4DC0-815A-9CC26E8004DF}C:\users\shum\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\shum\appdata\local\programs\guilded\guilded.exe => No File
FirewallRules: [UDP Query User{70E04D3A-0EA7-421C-9987-8E93930904AC}C:\users\shum\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\shum\appdata\local\programs\guilded\guilded.exe => No File
FirewallRules: [{9524D26F-0297-4EEB-8508-3B33956F6282}] => (Block) C:\users\shum\appdata\local\programs\guilded\guilded.exe => No File
FirewallRules: [{F240A1BB-C1F3-4D4E-A909-5A9BFD8FCEA2}] => (Block) C:\users\shum\appdata\local\programs\guilded\guilded.exe => No File
FirewallRules: [{B72208CC-96DA-4B85-AC46-C636D207CD6D}] => (Allow) C:\Windows\SysWOW64\PnkBstrA.exe => No File
FirewallRules: [{09F729D2-9E26-481A-AB8E-1A4F64FD0C4D}] => (Allow) C:\Windows\SysWOW64\PnkBstrA.exe => No File
FirewallRules: [{D3241F51-3D18-45F5-B11A-967A4EB9BC50}] => (Allow) C:\Windows\SysWOW64\PnkBstrB.exe => No File
FirewallRules: [{15FA3465-8024-4841-B72A-7E2BC2BEE942}] => (Allow) C:\Windows\SysWOW64\PnkBstrB.exe => No File
FirewallRules: [TCP Query User{1488CE9F-F9CD-4274-833B-F3D831B4BF0F}C:\games\they are billions\theyarebillions.exe] => (Allow) C:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [UDP Query User{BE5EAD76-CAD1-4013-B939-76D13F8501EF}C:\games\they are billions\theyarebillions.exe] => (Allow) C:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [{BE7B14A0-560E-4554-856D-903DA9DCA9FD}] => (Block) C:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [{B05052BA-2A30-4F99-B5C5-8AA4869EE6FD}] => (Block) C:\games\they are billions\theyarebillions.exe => No File
FirewallRules: [{3EFF2C67-C6BE-44A4-93AB-6A4975C7F097}] => (Allow) C:\Users\shum\AppData\Local\Programs\Opera GX\73.0.3856.396\opera.exe => No File
S2 CmdAgentProt; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [11334144 2020-12-24] (Comodo Security Solutions, Inc. -> COMODO)
C:\Program Files\COMODO
2021-02-17 01:23 - 2021-02-17 01:23 - 000000000 ____D C:\Users\Администратор\AppData\Local\Comodo
2021-02-16 23:57 - 2021-02-16 23:57 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Comodo
Comodo
2021-02-13 21:15 - 2021-02-13 21:17 - 000000000 ____D C:\ProgramData\Panda Security
2021-02-13 21:13 - 2021-02-18 00:31 - 000000000 ____D C:\ProgramData\Comodo
2021-02-13 21:13 - 2021-02-13 21:13 - 000000000 ____D C:\ProgramData\Bitdefender Agent
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2438ec02-7a3a-4eb9-9ed6-68ee32be1b53}" /f /reg:32
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Shum4]

Transmission version 3.00.0 устанавливал не я. Flock появился когда пытался вылечить второй компьютер от какого-то вируса. В итоге тот вылечил, а этот заразил по неосмотрительности. Произошло это где-то месяц назад, я нашел как сделать так чтобы flock не запускал майнер, но вот вылечить не смог. Написал сюда, когда устал от того что не могу нормально поставить антивирус. Флешка с того момента прошла форматирование.

[Vvvyg]

И Fixlog.txt жду.

[Shum4]

Загрузил выше.

[Vvvyg]

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[Shum4]

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Вот.

[Vvvyg]

Есть под рукой загрузочный WinPE диск?

Если да, загрузитесь с него, запустите файл start.exe из папки с uVS.
Выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана загружаемая с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку), затем - "Запустить под текущим пользователем".
В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.

[Shum4]

А если нет под ругой, есть другие варианты?

[Vvvyg]

Загрузите и распакуйте образ диска winpe10uVS4.0.ISO, запишите на CD диск или флэшку с помощью программы UltraISO:
1. Вставьте флэшку в USB разъём.
2. Откройте в UltraISO образ, который нужно записать на флэш-диск.
3. Меню - Самозагрузка - записать образ Жесткого диска. ! при записи информация на usb-диске будет полностью стерта !
4. Форматируете вначале usb-disk, затем записываете образ iso.
5. Включите компьютер, с которого нужно загрузиться, при старте системы войдите в BIOS, настройте очередность загрузки с USB, либо выберите загрузочное устройство при старте по клавише F8/F12 - в зависимости от материнской платы и биоса.
6. UVS стартует автоматически при загрузке с WinPE.
Выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана загруженная с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку)? затем - "Запустить под текущим пользователем".
7. В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.

[Shum4]

Максимум до чего я смог дойти, дальше при нажатии Enter экран мигает и ничего не происходит. Раньше кстати на эту флешку винда была 7 загружена, при этом она работала. Здесь почему-то не работает.