Помогите избавиться от угроз

**Asymetrix** · 12.03.2025, 14:24

Добрый день, снова проверил утилитой dr web cure it систему и снова обнаружееы угрозы 8, им же их удалил помогите проверить систему и избавиться от угроз

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.03.2025, 14:26

Уважаемый(ая) Asymetrix, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 12.03.2025, 21:12

Прошлую тему ещё не закрыли, ав Вы частично то же самое нахватали.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (всё, что найдётся из списка):

Код:

O4 - HKCU\..\Run: [bobro] = C:\Windows\system32\cmd.exe /c start vvv.dongdonger.org (sign: 'Microsoft')
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: bobro - C:\Windows\System32\cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v bobro /t REG_SZ /d "cmd.exe /c start vvv.dongdonger.org" /f (sign: 'Microsoft')
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')

Сделайте лог Malwarebytes AdwCleaner.

**Asymetrix** · 12.03.2025, 22:53

выполнил, не нашел только предпоследнюю строчку в hijack

**Vvvyg** · 13.03.2025, 07:43

Лог FRST сделайте.

**Asymetrix** · 13.03.2025, 11:38

выполнил

**Vvvyg** · 13.03.2025, 12:37

12-03-2025 18:55:02 Revo Uninstaller's restore point - Kaspersky
12-03-2025 18:56:31 Revo Uninstaller's restore point - Malwarebytes version 5.2.5.158

Антивирусы удалять нужно только штатными средствами, если деинсталлятор не отработал - есть средства удаления рт антивирусных вендоров.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
Task: {B6C2BE3A-A38C-4245-97AF-78A85808244B} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-18] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {67D188C9-C22B-4FCC-8470-48270083E9C1} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
Task: {48319F63-C2C6-4904-BF44-12EEAD412FAA} - System32\Tasks\NodeUpdate => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bohnfmnfgempfpmhanjabfapnphdpjeb
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jdemplpkclhibfaaeidioijoppmnohpi
C:\Users\bobro\AppData\Local\Google\Chrome\User Data\Default\Extensions\klmglikgommmjlooajkbplfaiocnfkne
2025-03-12 19:04 - 2025-03-12 19:04 - 000000037 _____ C:\Output.txt
2025-03-12 11:11 - 2025-03-12 11:11 - 000000344 _____ C:\Users\bobro\node.dat
2025-03-12 11:08 - 2025-03-13 11:32 - 000012063 _____ C:\Users\bobro\ex-list2.json
2025-03-12 11:08 - 2025-03-13 11:32 - 000000383 _____ C:\Users\bobro\bs-list.json
2025-03-12 11:08 - 2025-03-12 11:11 - 000000000 ____D C:\Program Files (x86)\Node
2025-03-12 11:08 - 2025-03-12 11:08 - 000000207 _____ C:\Users\bobro\e-user.json
2025-03-12 11:08 - 2025-03-12 11:08 - 000000103 _____ C:\Users\bobro\e-country.json
File: B:\qBittorrent\qbittorrent.exe
FirewallRules: [{F82B8D76-2F05-4F6E-B72B-A75C8160E85F}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{75F4B2AE-CF85-4B46-B36B-986C6AC78668}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{DFBB25D9-5BF7-42A8-AB1F-0CA7FAD244DB}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C8EA9D66-013E-4890-A1B2-A69822BB5BCF}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
endbatch:
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Asymetrix** · 13.03.2025, 13:00

все выполнил

**Vvvyg** · 13.03.2025, 14:56

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
del %SystemDrive%\USERS\BOBRO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTERNET EXPLORER.LNK
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FPBLDMGPAEJOIPEGEFOBOPFCAPGADNJK\35.18_0\ADGUARD АНТИБАННЕР
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KHODKMLFCGCCPBOPJMIFFEHGKOFOGODM\10.2.4_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KLMGLIKGOMMMJLOOAJKBPLFAIOCNFKNE\35.18_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.35\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\APBIJPBBMIEKJCJGJKOFJGLGGFHAKAOM\35.19_0\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\KGNNPEACBDGJBPJNJMHHMBNJIAMMJAFE\35.20_0\EDGE RELEVANT TEXT CHANGES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\BOHNFMNFGEMPFPMHANJABFAPNPHDPJEB\35.20_0\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\JDEMPLPKCLHIBFAAEIDIOIJOPPMNOHPI\35.19_0\WEBRTC EXTENSION
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Сделайте проверку с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

**Asymetrix** · 13.03.2025, 15:22

все выполнил

**Vvvyg** · 13.03.2025, 16:41

Порядок. Отчего рецидив был, неясно, что-то повторно запустили нехорошее.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**Asymetrix** · 13.03.2025, 17:03

спасибо большое

Помогите избавиться от угроз (заявка № 228922)

Опции темы