Показано с 1 по 9 из 9.

Троян NotePad.exe (заявка № 226635)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2020
    Сообщений
    9
    Вес репутации
    2

    Троян NotePad.exe

    Доброго времени суток..
    Во второй раз, с той же проблемой к вам.
    Знаю что за вирус, предполагаю как лечить, но считаю правильным, сначала уточнить у специалистов. ( Номер предыдущей заявки - №226138 )
    Надеюсь на ваш скорый ответ.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,301
    Вес репутации
    363
    Уважаемый(ая) MenOfSky, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
     TerminateProcessByName('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe');
     QuarantineFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '');
     QuarantineFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '');
     DeleteFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '');
     DeleteFile('C:\Users\Алекс\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe', '64');
     DeleteFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '');
     DeleteFile('c:\users\Алекс\appdata\roaming\openssl\torbrowser\data\tor.exe', '64');
     DeleteFileMask('c:\users\алекс\appdata\roaming\microsoft\google\chromeextensions\ads\honeyads', '*', true);
     DeleteFileMask('c:\users\алекс\appdata\roaming\openssl\torbrowser\data', '*', true);
     DeleteDirectory('c:\users\алекс\appdata\roaming\microsoft\google\chromeextensions\ads\honeyads');
     DeleteDirectory('c:\users\алекс\appdata\roaming\openssl\torbrowser\data');
     DeleteSchedulerTask('{CD864C0B-D5C0-4030-81BB-32815F4687A1}');
     DeleteSchedulerTask('zChromeExtenst');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    26.12.2020
    Сообщений
    9
    Вес репутации
    2

    .

    Еще вчера все скинул, но почему-то не отправилось.
    Надеюсь хоть карантин прикрепился.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4028859860-63463517-1611991801-1000\...\MountPoints2: {244433b6-760a-11e8-b172-0c54a5147d56} - E:\AutoRun.exe
    HKU\S-1-5-21-4028859860-63463517-1611991801-1000\...\MountPoints2: {3851cf8e-005f-11ea-abf4-0c54a5147d56} - E:\HiSuiteDownLoader.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {35017FF8-04DC-4864-AEF8-85A71581A49D} - System32\Tasks\{71E84656-B79D-48E7-B170-E18207262E86} => F:\Games\RIP 3\game\game.exe
    Task: {829A0DB5-F5C6-414A-B3EE-4762F4B0A3C2} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
    Task: {DB63B3EF-6C99-4C28-ACDE-8F65F044C17A} - \Алекс -> Нет файла <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://startmain.ru/"
    CHR DefaultSearchURL: Default -> hxxp://s64.tupoisk.ru/?q={searchTerms}
    CHR HKU\S-1-5-21-4028859860-63463517-1611991801-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    YAN Notifications: Default -> hxxps://gg11.bet; hxxps://www.vsemayki.ru
    FirewallRules: [{C71D1934-A632-4547-B799-64E805EEC2E3}] => (Allow) C:\Games\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe => Нет файла
    FirewallRules: [{585632F5-0839-4525-8F49-72B00EF41A7B}] => (Allow) C:\Games\Steam\steamapps\common\SCP Secret Laboratory\LocalAdmin.exe => Нет файла
    FirewallRules: [{83D9B18E-F466-4D5D-B75E-C670F269F795}] => (Allow) C:\Users\Алекс\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{3DACC076-F274-4A0A-A2E0-D3B59FCB5A3B}] => (Allow) C:\Users\Алекс\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [TCP Query User{658BBF75-BCB6-49F0-B440-10C0E4A76E01}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => Нет файла
    FirewallRules: [UDP Query User{66F50DBB-1F51-4741-84DC-91BCBC42D386}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe => Нет файла
    FirewallRules: [TCP Query User{0CF69ADC-7C8E-4E0D-B091-9D215C8015C3}C:\games\grand theft auto v\gta5.exe] => (Block) C:\games\grand theft auto v\gta5.exe => Нет файла
    FirewallRules: [UDP Query User{88A61B40-36F3-435E-BCEC-0950F1B3EFA4}C:\games\grand theft auto v\gta5.exe] => (Block) C:\games\grand theft auto v\gta5.exe => Нет файла
    FirewallRules: [TCP Query User{151C4813-CF95-4476-9F71-784CA46B0A8C}C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe => Нет файла
    FirewallRules: [UDP Query User{2D10F3DE-96CC-429A-9D81-BA2F7C24484E}C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) C:\games\steam\steamapps\common\insurgency2\insurgency_x64.exe => Нет файла
    FirewallRules: [TCP Query User{CCA1AA6C-C8FB-4F5C-B3F5-8AF32A1B1CAE}C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{60BA44F9-A3CD-404A-AF67-268EADBA1D97}C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_171\bin\javaw.exe => Нет файла
    FirewallRules: [TCP Query User{0ADFE4C5-1286-4983-B934-9031F37C0A3F}C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{5739192C-8248-4796-AF4F-60B2D54217EB}C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_191\bin\javaw.exe => Нет файла
    FirewallRules: [TCP Query User{E167BF3C-DB86-4507-8792-DF7931DE2D7E}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => Нет файла
    FirewallRules: [UDP Query User{60C32F79-A0D9-48AF-B513-67E983D28C6C}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => Нет файла
    FirewallRules: [{15EF5037-770C-4BDD-8A2E-24FA20A6A8C4}] => (Allow) C:\Users\Алекс\Downloads\PlayBS.exe => Нет файла
    FirewallRules: [{0FEF6DD1-B819-4CD4-9C81-D4A9A520D77B}] => (Allow) C:\Users\Алекс\Downloads\PlayBS.exe => Нет файла
    FirewallRules: [TCP Query User{77C6B6B3-4D4C-4ADC-86C4-F1F3B3365FD6}C:\games\simcity\simcity\sclauncher.exe] => (Block) C:\games\simcity\simcity\sclauncher.exe => Нет файла
    FirewallRules: [UDP Query User{C5B7B11E-B3CB-4F53-8646-83F81830D985}C:\games\simcity\simcity\sclauncher.exe] => (Block) C:\games\simcity\simcity\sclauncher.exe => Нет файла
    FirewallRules: [{F9E035AF-79B2-45A9-8FCC-45C8C7B4D6FF}] => (Allow) C:\Games\SimCity\SimCity\SimCity.exe => Нет файла
    FirewallRules: [{D1837631-6B6F-4EB7-B061-D53825078223}] => (Allow) C:\Games\SimCity\SimCity\SimCity.exe => Нет файла
    FirewallRules: [TCP Query User{66654442-7AEF-48E9-BF04-44055B974BAA}C:\program files (x86)\hearthstone\hearthstone.exe] => (Block) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [UDP Query User{3128037F-4D21-40F0-AF55-3F5E375BEC48}C:\program files (x86)\hearthstone\hearthstone.exe] => (Block) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [{C9F61729-482A-4F79-A917-286A4B21C24C}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
    FirewallRules: [{7A5A5373-2522-4254-950E-76DCFAC2F509}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
    FirewallRules: [{DC7A6F38-1C8D-468B-B4E2-71BC7C3F20C5}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
    FirewallRules: [{964B784B-AF22-4CD4-B56F-1B08B8BC9C87}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
    FirewallRules: [{6E71D2E8-B881-4891-B91D-72060D5E675C}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
    FirewallRules: [{22E14AF5-B8EE-4FA5-91EB-6BA497C6CBCB}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
    FirewallRules: [{64D0CF99-9BE7-4454-A51D-2FE8FF11B16D}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
    FirewallRules: [{578F50B6-E34D-4A11-9649-FDB83BEBABB7}] => (Allow) C:\Games\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
    FirewallRules: [TCP Query User{C17BCFA3-4F84-427C-A84C-15397BF87242}C:\games\в тылу врага 2\facesofwar.exe] => (Block) C:\games\в тылу врага 2\facesofwar.exe => Нет файла
    FirewallRules: [UDP Query User{B7224718-C723-4300-856C-4A8C37A2A07A}C:\games\в тылу врага 2\facesofwar.exe] => (Block) C:\games\в тылу врага 2\facesofwar.exe => Нет файла
    FirewallRules: [TCP Query User{64DA7426-4703-41EE-9F7F-A3BBF0CA07CD}C:\program files\epic games\gtav\gta5.exe] => (Block) C:\program files\epic games\gtav\gta5.exe => Нет файла
    FirewallRules: [UDP Query User{120A0ECD-B536-4C07-8D50-E766D7A11C16}C:\program files\epic games\gtav\gta5.exe] => (Block) C:\program files\epic games\gtav\gta5.exe => Нет файла
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    26.12.2020
    Сообщений
    9
    Вес репутации
    2
    Код выполнить в AVZ?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    Нет, сделать в точности, как написано.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    26.12.2020
    Сообщений
    9
    Вес репутации
    2
    В таком случае - вот.
    Проблема же - решена, "голодного" notepad'а в диспетчере больше не замечаю.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,519
    Вес репутации
    982
    В завершение:
    переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

Похожие темы

  1. Троян NotePad.exe
    От MenOfSky в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 27.12.2020, 22:04
  2. Ответов: 7
    Последнее сообщение: 13.07.2013, 23:25
  3. Ответов: 4
    Последнее сообщение: 31.05.2013, 16:31
  4. Вирус удалил cmd.exe и notepad.exe
    От seomm в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 02.11.2012, 14:12
  5. Троян Агент в notepad.exe
    От Nats в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 11.08.2011, 17:08

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00721 seconds with 20 queries