После того, как я поймал троян, почистил антивирусом, решил прогнать в AVZ, вирусов софтина не нашла, но нашла много перехватов функций (см. лог). И немного новых процессов, которых точно раньше не было, но удалить их не получается
После того, как я поймал троян, почистил антивирусом, решил прогнать в AVZ, вирусов софтина не нашла, но нашла много перехватов функций (см. лог). И немного новых процессов, которых точно раньше не было, но удалить их не получается
Уважаемый(ая) hellsugar2281, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Здравствуйте!
А если не смотреть в лог, внешне какая-либо проблема проявляется?
Временно отключите защитное ПО.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\PVneREeIU\SEFdGA.dll', ''); QuarantineFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', ''); DeleteSchedulerTask('EPWBZCLxEXgivRM'); DeleteSchedulerTask('MplZfvIwRaVeMvnTW'); DeleteSchedulerTask('MplZfvIwRaVeMvnTW.job'); DeleteSchedulerTask('VKDJ'); DeleteFile('C:\Program Files (x86)\PVneREeIU\SEFdGA.dll', '64'); DeleteFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', '32'); DeleteFile('C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте повторные логи по правилам. (CollectionLog)
Вот лог после использования скрипта.
- - - - -Добавлено - - - - -
Каких-либо внешних признаков не проявлялось
Дополнительно:
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
- Прикрепите отчет к своему следующему сообщению.
Отчёт скана и очистки.
Всё что было помещено в карантин я уже удалил в этой же утилите
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Готово, скан прилагаю ниже
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {325A97BF-D1C9-4219-BF82-6E7FA8F50B74} - System32\Tasks\EPWBZCLxEXgivRM => rundll32 "C:\Program Files (x86)\PVneREeIU\SEFdGA.dll",#1 Task: {83ABB14D-A25B-4B6A-95D0-B7A905388081} - System32\Tasks\MplZfvIwRaVeMvnTW => C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe <==== ВНИМАНИЕ Task: C:\Windows\Tasks\EPWBZCLxEXgivRM.job => C:\Program Files (x86)\PVneREeIU\SEFdGA.dll Task: C:\Windows\Tasks\MplZfvIwRaVeMvnTW.job => C:\Windows\Temp\vfFFeaDdAVdQzCfu\iZguZmRgRvAGLEe\lSXBMCa.exe Folder: C:\Program Files (x86)\PVneREeIU 2021-03-31 05:01 - 2021-03-31 13:42 - 000000000 ____D C:\Program Files (x86)\PVneREeIU 2021-03-31 05:01 - 2021-03-31 09:09 - 000000522 _____ C:\Windows\Tasks\MplZfvIwRaVeMvnTW.job 2021-03-31 05:01 - 2021-03-31 09:09 - 000000330 _____ C:\Windows\Tasks\EPWBZCLxEXgivRM.job 2021-03-31 05:01 - 2021-03-31 06:02 - 000000000 ____D C:\Program Files (x86)\CNCBnTTMEIE 2021-03-31 05:01 - 2021-03-31 05:01 - 000003064 _____ C:\Windows\system32\Tasks\MplZfvIwRaVeMvnTW 2021-03-31 05:01 - 2021-03-31 05:01 - 000002650 _____ C:\Windows\system32\Tasks\EPWBZCLxEXgivRM 2021-03-31 05:01 - 2021-03-31 05:01 - 000000000 ____D C:\ProgramData\V_k_D_j 2021-03-31 05:01 - 2021-03-31 05:01 - 000000000 ____D C:\ProgramData\TplTLfNPXBvdddp ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Полагаю, что мой случай не самый простой, раз столько геморроя
Если проблем не замечаете, завершаем:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Вроде помогло)
Заглянул в лог, SC ругается на Adblock, но я сам его устанавливал, так что всё ок, других проблем вроде не вижу
Выглядит подозрительным - версия 1.0.0.0 и скрыт. Возьмите на заметку, а лучше замените на что-либо более известное и авторитетное (если в этом есть необходимость).
Читайте Советы и рекомендации после лечения компьютера.
Огромное спасибо, и да, какой антивирус посоветуете?
Смотрите сравнительные тесты, желательно авторитетные и сделайте выбор самостоятельно.
https://selabs.uk/reports/2020/
https://www.av-comparatives.org/test...y-report-2020/
https://www.av-test.org/en/antivirus/home-windows/
Можно бесплатную версию.
спасибо)
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\program files (x86)\pvnereeiu\sefdga.dll - not-a-virus:HE=
UR:AdWare.Win32.Generic
Уважаемый(ая) hellsugar2281, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.