Собственно в названии темы указал, ребенок лазает где попало, что-то скачал/открыл видимо, в общем сегодня взломали его телеграм на компьютере, рассылают всякую дрянь контактам. Посмотрите пожалуйста на предмет наличия зловредов.
Собственно в названии темы указал, ребенок лазает где попало, что-то скачал/открыл видимо, в общем сегодня взломали его телеграм на компьютере, рассылают всякую дрянь контактам. Посмотрите пожалуйста на предмет наличия зловредов.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sprinter, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Да, свежачок какой-то словили.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\reference assemblies\vmnat.exe'); QuarantineFile('c:\program files (x86)\reference assemblies\vmnat.exe', ''); QuarantineFile('C:\Users\barabylka\AppData\Local\Microsoft\Windows\Explorer\cache.jar', ''); QuarantineFile('C:\Users\barabylka\AppData\Local\Temp\atieclxx.exe', ''); QuarantineFile('C:\Users\barabylka\AppData\Local\yandexmusic-updater\dwengine.exe', ''); DeleteFile('c:\program files (x86)\reference assemblies\vmnat.exe', ''); DeleteFile('C:\Program Files (x86)\Reference Assemblies\vmnat.exe', '32'); DeleteFile('C:\Program Files (x86)\Reference Assemblies\vmnat.exe', '64'); DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64'); DeleteFile('C:\Users\barabylka\AppData\Local\Microsoft\Windows\Explorer\cache.jar', '64'); DeleteFile('C:\Users\barabylka\AppData\Local\Temp\atieclxx.exe', '64'); DeleteFile('C:\Users\barabylka\AppData\Local\yandexmusic-updater\dwengine.exe', '32'); DeleteFile('C:\Users\barabylka\AppData\Local\yandexmusic-updater\dwengine.exe', '64'); DeleteFileMask('c:\program files\client helper', '*', true); DeleteFileMask('c:\users\barabylka\appdata\local\microsoft\windows\explorer', '*', true); DeleteDirectory('c:\program files\client helper'); DeleteDirectory('c:\users\barabylka\appdata\local\microsoft\windows\explorer'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dwengine', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dwengine', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vmnat', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vmnat', '64'); DeleteSchedulerTask('atieclxx'); DeleteSchedulerTask('dwengine'); DeleteSchedulerTask('OneDrive\OneDriveUpdateTask'); DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1734865082'); DeleteSchedulerTask('Opera scheduled Autoupdate 1734865077'); DeleteSchedulerTask('RunGame'); DeleteSchedulerTask('vmnat'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Сделал.quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
И это сделал.FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
HEUR:Trojan-PSW.Win32.Coins.pef - детект Касперского.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKLM-x32\...\Run: [vmware-tray.exe] => "D:\VMware\vmware-tray.exe" (Нет файла) HKU\S-1-5-21-3363044832-3804895041-298399303-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла) S2 VMAuthdService; D:\VMware\vmware-authd.exe [X] S3 VmwareAutostartService; D:\VMware\vmware-autostart.exe [X] 2025-02-11 20:22 - 2024-12-02 23:37 - 000073728 _____ C:\tasksch HKLM\...\StartupApproved\Run32: => "vmware-tray.exe" HKU\S-1-5-21-3363044832-3804895041-298399303-1001\...\StartupApproved\Run: => "HELPER" Client Helper 6.1.6 (HKLM\...\a4f6aed4-d157-5902-92eb-b261259b5270) (Version: 6.1.6 - ) <==== ВНИМАНИЕ Virusscan: C:\Users\barabylka\Downloads\app-debug.apk FirewallRules: [TCP Query User{50276DB2-8591-4EC1-8F76-78FB0B53C204}D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe] => (Allow) D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe => Нет файла FirewallRules: [UDP Query User{0AEE6DB1-33BC-4956-B7B6-A35DF1614B9F}D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe] => (Allow) D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe => Нет файла FirewallRules: [TCP Query User{1078F166-4A35-445B-841B-3D61A19C884F}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла FirewallRules: [UDP Query User{8283EB47-EA17-456D-BBF1-A8D7AB0420CA}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла FirewallRules: [{1B0EA63F-5369-4370-B7DE-4932AF61B80E}] => (Block) C:\excellentrecode\runtime\bin\java.exe => Нет файла FirewallRules: [{5D281482-2283-4652-80A9-DA67A3486373}] => (Block) C:\excellentrecode\runtime\bin\java.exe => Нет файла FirewallRules: [TCP Query User{123F9D4B-7C93-4D60-9D8A-2874218F8C60}C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe] => (Allow) C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe => Нет файла FirewallRules: [UDP Query User{88EE8323-FC5A-41DE-B893-92010C768662}C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe] => (Allow) C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe => Нет файла FirewallRules: [TCP Query User{8D558955-8DD6-4B3E-83D4-1A95AAF5B300}D:\steam\steamapps\common\garrysmod\bin\win64\gmod.exe] => (Allow) D:\steam\steamapps\common\garrysmod\bin\win64\gmod.exe => Нет файла FirewallRules: [UDP Query User{2C2B7F17-ADC2-4303-9070-C159C926C743}D:\steam\steamapps\common\garrysmod\bin\win64\gmod.exe] => (Allow) D:\steam\steamapps\common\garrysmod\bin\win64\gmod.exe => Нет файла FirewallRules: [{9e1774c3-98e6-40af-8541-024a12f07a1d}] => (Allow) D:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла FirewallRules: [TCP Query User{0AEDFBD3-E5ED-440E-9C66-5A36A3BDD616}D:\call of duty 2\cod2mp_s.exe] => (Allow) D:\call of duty 2\cod2mp_s.exe => Нет файла FirewallRules: [UDP Query User{6BD4137E-25F8-43D8-8016-A991DF4AF6F3}D:\call of duty 2\cod2mp_s.exe] => (Allow) D:\call of duty 2\cod2mp_s.exe => Нет файла FirewallRules: [{125B74DA-B1CE-4225-9725-BCD78E1525AC}] => (Block) D:\call of duty 2\cod2mp_s.exe => Нет файла FirewallRules: [{233102BF-82A4-41F1-8A6B-0D0846374E05}] => (Block) D:\call of duty 2\cod2mp_s.exe => Нет файла FirewallRules: [TCP Query User{2C163825-45C6-4C06-9F01-2C6FE4621F70}D:\plague inc evolved\plagueincevolved.exe] => (Allow) D:\plague inc evolved\plagueincevolved.exe => Нет файла FirewallRules: [UDP Query User{F0F03291-7C06-45AC-BA5C-8CFEAF3054A4}D:\plague inc evolved\plagueincevolved.exe] => (Allow) D:\plague inc evolved\plagueincevolved.exe => Нет файла FirewallRules: [{0CF440E0-B7B8-4685-A661-F31D5FE3CE2E}] => (Block) D:\plague inc evolved\plagueincevolved.exe => Нет файла FirewallRules: [{79A29F8A-4DE5-4583-95C4-64E31A5D586A}] => (Block) D:\plague inc evolved\plagueincevolved.exe => Нет файла FirewallRules: [{3914E3EA-46FA-4639-A1A1-38B5D77227C7}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [{CE92C950-D010-46BB-8658-2661A7C91AB3}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [{C5CC0BD8-D8EE-48D8-A3AA-8DDFD56FF4C7}] => (Allow) D:\VMware\vmware-authd.exe => Нет файла FirewallRules: [{E73C1AD4-0D1F-459C-91CA-F10FE73D937E}] => (Allow) D:\VMware\vmware-authd.exe => Нет файла FirewallRules: [{29B54859-2F0F-4E2C-8A5A-A674C91E718C}] => (Allow) D:\bbb\BlueStacks X\Cloud Game.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul del /s /q C:\Windows\Temp\*.* >nul del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
Деинсталлируйте устаревший и неиспользуемый Adobe Flash Player 32 PPAPI.
Программу Client Helper 6.1.6 удалите принудительно, с помощью Geek Uninstaller Free.
WBR,
Vadim
Готово
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
