Подозрение на вирусы

[fuatino]

Доброго времени суток!
Для попытки оживить злополучный Дискорд, накачал всякой ерунды. Дискорд ясно дело не заработал зато я нахватался всякого. После попыток удаления то что было накачано в ручную на некоторых файлах появлялась ошибка - невозможно удалить, какой-то сайт и биткойн кошелек. Утилита от Касперского нашла 4 проблемы но так и не вылечила. утилита от Др. Веба обнаружила 2 проблемы и тоже особо не помогла.

[Info_bot]

Уважаемый(ая) fuatino, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Поставили вариант обхода с "довеском" в виде майнера.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe', '');
 DeleteFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe', '64');
 DeleteService('gupdate');
 DeleteService('gupdatem');
 DeleteService('WinDivert');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ClipboardMonitor', 'x64');
 DeleteSchedulerTask('GameNet');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[fuatino]

Да вот так по глупости поплатился)
Все сделал!

[Vvvyg]

Надо было с утилитой ClearLNK совершать действия и с тем логом, что в папке Autologger. Ладно, уже не столь важно.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %SystemDrive%\GOODBYEDPI-0.2.3RC1-2\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
del C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Support Assistant.lnk
del C:\Users\vinzt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Проверьте, что из проблем осталось.

[fuatino]

Утилиты от касперского и др. веба больше ничего не видят. Встроенный антивирус тоже ничего не нашел.

[Vvvyg]

Закончим на этом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.
Уязвимость в архиваторе WinRAR позволяет обойти метку Mark-of-the-Web.

[fuatino]

Спасибо большое!