Здравствуйте! Залетели трояны помогите избавится пожалуйста

**Валентин1979** · 04.01.2025, 10:39

Здравствуйте! касперский обнаружил вот это. удалить не получается. Помогите пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.01.2025, 10:41

Уважаемый(ая) Валентин1979, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Валентин1979** · 04.01.2025, 10:47

Не открывается автологгер

**Vvvyg** · 08.01.2025, 17:03

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Сделайте лог Autologger.

**Валентин1979** · 09.01.2025, 11:21

Сообщение от Vvvyg

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Сделайте лог Autologger.

Высылаю логи. Спасибо

**Vvvyg** · 09.01.2025, 11:45

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A17150FE-F1AF-4827-A36C-26FA9955F607} - \Microsoft\Windows\CreedMobeE\02lTCy (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DC7D282F-661D-4594-A234-C91E5704C404} - \Microsoft\Windows\CreedMobeE\TaskHoster (no xml)
O22 - Tasks: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin (file missing)
O22 - Tasks: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)
O22 - Tasks: Chess Titans - C:\Users\754C~1\AppData\Local\Temp\is-5OCSQ.tmp\prsetup.exe "/logon" (file missing)
O22 - Tasks: GoogleUpdateTaskUserS-1-5-21-3786065227-3315842990-483063556-1001Core{34398F49-1B79-4BD3-AAF0-51169E9935CB} - C:\Users\Валентин\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks: GoogleUpdateTaskUserS-1-5-21-3786065227-3315842990-483063556-1001UA{FF0DC59D-CCDC-48F3-9F37-F6C8F5F5A5A3} - C:\Users\Валентин\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks: VKSaverUpdate - C:\ProgramData\VKSaver\VKSaver.exe -autoupdate (file missing)
O23 - Service S2: BstHdAndroidSvc - (no file)
O23 - Service S2: BstHdLogRotatorSvc - (no file)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Морской бой.lnk"          -> ["C:\Program Files (x86)\Games\SeaBattle\SeaBattle.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Морской бой.lnk"    -> ["C:\Program Files (x86)\Games\SeaBattle\SeaBattle.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Карточная игра в Дурака.lnk"        -> ["C:\Program Files (x86)\Games\Durbetsel\Durbetsel.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Карточная игра в Дурака.lnk"  -> ["C:\Program Files (x86)\Games\Durbetsel\Durbetsel.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Миллионер.lnk"  -> ["C:\Program Files (x86)\Games\Millioner\millioner.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Миллионер.lnk"      -> ["C:\Program Files (x86)\Games\Millioner\millioner.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Snipping Tool.lnk"  -> ["C:\WINDOWS\system32\SnippingTool.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\RecoveryDrive.lnk"   -> ["C:\WINDOWS\system32\RecoveryDrive.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk"      -> ["C:\WINDOWS\system32\msconfig.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk"          -> ["C:\WINDOWS\system32\printmanagement.msc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk"   -> ["C:\WINDOWS\system32\secpol.msc"  =>> /s]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk"     -> ["C:\WINDOWS\system32\wfs.exe"  =>> /SendTo]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel(R) HD Graphics Control Panel.lnk"   -> ["C:\Windows\system32\GfxUIEx.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Информация о сборке.lnk"  -> ["C:\Program Files (x86)\Total Commander\TCPPhelp.htm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mitchell 1\OnDemand5\OnDemand5.lnk"       -> ["C:\Mitchell1\OnDemand5\Od5.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"      -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"      -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\Валентин\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"        -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\Валентин\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"        -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HandBrake\HandBrake.lnk"        -> ["C:\Program Files\HandBrake\HandBrake.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HandBrake\Uninstall.lnk"        -> ["C:\Program Files\HandBrake\uninst.exe"]
>>>  "C:\Users\Валентин\Desktop\игры\Тайны вечности.lnk"     -> ["C:\Program Files (x86)\Alawar\Тайны вечности\Eternity.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Валентин1979** · 09.01.2025, 23:52

Извините но я не нашёл в быстром ответе как прикрепить вложения.

**Vvvyg** · 10.01.2025, 07:43

Режим загрузки: Safe Mode (with Networking)

Зачем в безопасном режиме делали логи, в обычном не запускался FRST? Майнер вынесли ещё AV block remove, хвосты дочищаем.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3786065227-3315842990-483063556-1001\...\Policies\Explorer: [] 
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.globasearch.com/?serie=225&b=2&installkey=mNjfIU0Z9kiwcQpbckGe&newtab
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\WINDOWS\system32\Macromed\AUTHORWA\np32asw.dll [Нет файла]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\WINDOWS\system32\Adobe\Director\np32dsw_1234204.dll [Нет файла]
2018-12-06 08:30 - 2019-03-20 09:50 - 006387208 _____ () C:\Users\Валентин\AppData\Local\dump007.dat
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2015\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2015\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{1a46400f-4c81-802a-c2c1-1e9a687a9340}\localserver32 -> "C:\Program Files\HandBrake\HandBrake.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2015\ru-RU\acadficn.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3786065227-3315842990-483063556-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2020\Inventor Server\Bin\TestServer.dll => Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [UnlockerShellExtension] -> [CC]{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> Нет файла
ContextMenuHandlers6: [BriefcaseMenu] -> [CC]{85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers6: [StartMenuExt] -> [CC]{E595F05F-903F-4318-8B0A-7F633B520D2B} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\System32:tdsrset.gfc [5846]
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
FirewallRules: [{F2EEBFEA-645E-4993-BDAD-24D413E37D0D}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{8997E9F1-D897-4AA4-86B2-2AEF814D1C8E}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{0098C527-8FE3-4069-A269-2F0594324A36}] => (Allow) C:\Users\Валентин\OEYiOKL.exe => Нет файла
FirewallRules: [{18E72529-5C2E-4D1F-87AF-B0F1A6B4E7D2}] => (Allow) C:\Users\Валентин\Desktop\Загрузка Torrent\Paragon Hard Disk Manager 15 Professional 10.1.25.1137\Paragon-799-PRR_WinInstallx64_10.1.25.1137_000.exe => Нет файла
FirewallRules: [{D77292D3-A639-4E3F-9743-F8C5600C2969}] => (Allow) C:\Users\Валентин\Desktop\Загрузка Torrent\Paragon Hard Disk Manager 15 Professional 10.1.25.1137\Paragon-799-PRR_WinInstallx64_10.1.25.1137_000.exe => Нет файла
FirewallRules: [{0AAEBCDC-3BE3-4F4E-B2CB-3BCA228A858B}] => (Allow) C:\Program Files\Opera x64\pluginwrapper\opera_plugin_wrapper.exe => Нет файла
FirewallRules: [{702E64F4-5D6D-42BD-8FAA-4CFDD8F08B11}] => (Allow) C:\Program Files\Opera x64\pluginwrapper\opera_plugin_wrapper.exe => Нет файла
FirewallRules: [{E43CA26D-BDCB-4AF8-A58C-78ABF0ECD7E0}] => (Allow) C:\Program Files\Opera x64\pluginwrapper\opera_plugin_wrapper_32.exe => Нет файла
FirewallRules: [{A470994C-AD7E-4BD9-B7D5-A0C9CAAE5EF0}] => (Allow) C:\Program Files\Opera x64\pluginwrapper\opera_plugin_wrapper_32.exe => Нет файла
FirewallRules: [{2D7CCDF9-17FE-4EC1-B6BB-2709C5E69F3E}] => (Allow) C:\Program Files\Opera x64\opera.exe => Нет файла
FirewallRules: [{3B3171AD-8851-4F26-ACA8-7789EFDDEF4A}] => (Allow) C:\Program Files\Opera x64\opera.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

**Валентин1979** · 10.01.2025, 19:51

Отправляю

**Vvvyg** · 10.01.2025, 23:09

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**Валентин1979** · 10.01.2025, 23:33

Спасибо огромное ��

Здравствуйте! Залетели трояны помогите избавится пожалуйста (заявка № 228854)

Опции темы