Троян NotePad.exe

**MenOfSky** · 28.03.2021, 16:42

Доброго времени суток..
Во второй раз, с той же проблемой к вам.
Знаю что за вирус, предполагаю как лечить, но считаю правильным, сначала уточнить у специалистов. ( Номер предыдущей заявки - №226138 )
Надеюсь на ваш скорый ответ.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.03.2021, 16:43

Уважаемый(ая) MenOfSky, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 29.03.2021, 08:04

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
 TerminateProcessByName('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe');
 QuarantineFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '');
 QuarantineFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '');
 DeleteFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '');
 DeleteFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '64');
 DeleteFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '');
 DeleteFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '64');
 DeleteFileMask('c:\users\алекс\appdata\roaming\microsoft\google\chromeextensions\ads\honeyads', '*', true);
 DeleteFileMask('c:\users\алекс\appdata\roaming\openssl\torbrowser\data', '*', true);
 DeleteDirectory('c:\users\алекс\appdata\roaming\microsoft\google\chromeextensions\ads\honeyads');
 DeleteDirectory('c:\users\алекс\appdata\roaming\openssl\torbrowser\data');
 DeleteSchedulerTask('{CD864C0B-D5C0-4030-81BB-32815F4687A1}');
 DeleteSchedulerTask('zChromeExtenst');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**MenOfSky** · 01.04.2021, 15:41

Еще вчера все скинул, но почему-то не отправилось.
Надеюсь хоть карантин прикрепился.

**Vvvyg** · 01.04.2021, 17:47

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4028859860-63463517-1611991801-1000\...\MountPoints2: {244433b6-760a-11e8-b172-0c54a5147d56} - E:\AutoRun.exe
HKU\S-1-5-21-4028859860-63463517-1611991801-1000\...\MountPoints2: {3851cf8e-005f-11ea-abf4-0c54a5147d56} - E:\HiSuiteDownLoader.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {35017FF8-04DC-4864-AEF8-85A71581A49D} - System32\Tasks\{71E84656-B79D-48E7-B170-E18207262E86} => F:\Games\RIP 3\game\game.exe
Task: {829A0DB5-F5C6-414A-B3EE-4762F4B0A3C2} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
Task: {DB63B3EF-6C99-4C28-ACDE-8F65F044C17A} - \Алекс -> Нет файла <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://startmain.ru/"
CHR DefaultSearchURL: Default -> hxxp://s64.tupoisk.ru/?q={searchTerms}
CHR HKU\S-1-5-21-4028859860-63463517-1611991801-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
YAN Notifications: Default -> hxxps://gg11.bet; hxxps://www.vsemayki.ru
FirewallRules: [{C71D1934-A632-4547-B799-64E805EEC2E3}] => (Allow) C:\Games\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe => Нет файла
FirewallRules: [{585632F5-0839-4525-8F49-72B00EF41A7B}] => (Allow) C:\Games\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe => Нет файла
FirewallRules: [{83D9B18E-F466-4D5D-B75E-C670F269F795}] => (Allow) C:\Users\Алекс\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3DACC076-F274-4A0A-A2E0-D3B59FCB5A3B}] => (Allow) C:\Users\Алекс\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{658BBF75-BCB6-49F0-B440-10C0E4A76E01}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => Нет файла
FirewallRules: [UDP Query User{66F50DBB-1F51-4741-84DC-91BCBC42D386}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => Нет файла
FirewallRules: [TCP Query User{0CF69ADC-7C8E-4E0D-B091-9D215C8015C3}C:\games\grand theft auto v\gta5.exe] => (Block) C:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{88A61B40-36F3-435E-BCEC-0950F1B3EFA4}C:\games\grand theft auto v\gta5.exe] => (Block) C:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [TCP Query User{151C4813-CF95-4476-9F71-784CA46B0A8C}C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe => Нет файла
FirewallRules: [UDP Query User{2D10F3DE-96CC-429A-9D81-BA2F7C24484E}C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe => Нет файла
FirewallRules: [TCP Query User{CCA1AA6C-C8FB-4F5C-B3F5-8AF32A1B1CAE}C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{60BA44F9-A3CD-404A-AF67-268EADBA1D97}C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0ADFE4C5-1286-4983-B934-9031F37C0A3F}C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{5739192C-8248-4796-AF4F-60B2D54217EB}C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{E167BF3C-DB86-4507-8792-DF7931DE2D7E}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => Нет файла
FirewallRules: [UDP Query User{60C32F79-A0D9-48AF-B513-67E983D28C6C}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => Нет файла
FirewallRules: [{15EF5037-770C-4BDD-8A2E-24FA20A6A8C4}] => (Allow) C:\Users\Алекс\Downloads\PlayBS.exe => Нет файла
FirewallRules: [{0FEF6DD1-B819-4CD4-9C81-D4A9A520D77B}] => (Allow) C:\Users\Алекс\Downloads\PlayBS.exe => Нет файла
FirewallRules: [TCP Query User{77C6B6B3-4D4C-4ADC-86C4-F1F3B3365FD6}C:\games\simcity\simcity\sclauncher.exe] => (Block) C:\games\simcity\simcity\sclauncher.exe => Нет файла
FirewallRules: [UDP Query User{C5B7B11E-B3CB-4F53-8646-83F81830D985}C:\games\simcity\simcity\sclauncher.exe] => (Block) C:\games\simcity\simcity\sclauncher.exe => Нет файла
FirewallRules: [{F9E035AF-79B2-45A9-8FCC-45C8C7B4D6FF}] => (Allow) C:\Games\SimCity\SimCity\SimCity.exe => Нет файла
FirewallRules: [{D1837631-6B6F-4EB7-B061-D53825078223}] => (Allow) C:\Games\SimCity\SimCity\SimCity.exe => Нет файла
FirewallRules: [TCP Query User{66654442-7AEF-48E9-BF04-44055B974BAA}C:\program files (x86)\hearthstone\hearthstone.exe] => (Block) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{3128037F-4D21-40F0-AF55-3F5E375BEC48}C:\program files (x86)\hearthstone\hearthstone.exe] => (Block) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [{C9F61729-482A-4F79-A917-286A4B21C24C}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
FirewallRules: [{7A5A5373-2522-4254-950E-76DCFAC2F509}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
FirewallRules: [{DC7A6F38-1C8D-468B-B4E2-71BC7C3F20C5}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
FirewallRules: [{964B784B-AF22-4CD4-B56F-1B08B8BC9C87}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
FirewallRules: [{6E71D2E8-B881-4891-B91D-72060D5E675C}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
FirewallRules: [{22E14AF5-B8EE-4FA5-91EB-6BA497C6CBCB}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
FirewallRules: [{64D0CF99-9BE7-4454-A51D-2FE8FF11B16D}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
FirewallRules: [{578F50B6-E34D-4A11-9649-FDB83BEBABB7}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
FirewallRules: [TCP Query User{C17BCFA3-4F84-427C-A84C-15397BF87242}C:\games\в тылу врага 2\facesofwar.exe] => (Block) C:\games\в тылу врага 2\facesofwar.exe => Нет файла
FirewallRules: [UDP Query User{B7224718-C723-4300-856C-4A8C37A2A07A}C:\games\в тылу врага 2\facesofwar.exe] => (Block) C:\games\в тылу врага 2\facesofwar.exe => Нет файла
FirewallRules: [TCP Query User{64DA7426-4703-41EE-9F7F-A3BBF0CA07CD}C:\program files\epic games\gtav\gta5.exe] => (Block) C:\program files\epic games\gtav\gta5.exe => Нет файла
FirewallRules: [UDP Query User{120A0ECD-B536-4C07-8D50-E766D7A11C16}C:\program files\epic games\gtav\gta5.exe] => (Block) C:\program files\epic games\gtav\gta5.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**MenOfSky** · 04.04.2021, 12:45

Код выполнить в AVZ?

**Vvvyg** · 04.04.2021, 17:26

Нет, сделать в точности, как написано.

**MenOfSky** · 04.04.2021, 22:03

В таком случае - вот.
Проблема же - решена, "голодного" notepad'а в диспетчере больше не замечаю.

**Vvvyg** · 05.04.2021, 07:31

В завершение:
переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Троян NotePad.exe (заявка № 226635)

Опции темы