Подозрение на вирус

150700 · 06.03.2021, 20:39

После скачки случайного говна, брандмауэр виндовс начал сходить с ума вылезая из каждой программы будучи отключённым (ну или по крайней мере из тех кто получил разрешение). КВРТ и малварбайтс не запускаются. Лог увз прикрепил

Vvvyg · 09.03.2021, 12:26

Даже если уже решили, как Вам кажется, проблему, всё равно выполните следующее, в системе множество блокировок, которые антивирусные утилиты автоматически не снимут.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.5 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 Program.RemoteAdmin.753 [DrWeb] 7
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7
addsgn BA6F9BB2BD2D49720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 15 Win64/CoinMiner.ACV [ESET-NOD32] 7
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Win32/CoinMiner.CEY [ESET-NOD32] 7
addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 16 NetTool.Win32.Portscan.ne [Kaspersky] 7
addsgn 9252775A1D6AC1CC0B84594E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Autoit.acbae [Kaspersky] 7

chklst
delvir

deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir  %SystemDrive%\PROGRAMDATA\SETUP
deldir %SystemDrive%\PROGRAMDATA\WINDOWS
deldir %SystemDrive%\PROGRAMDATA\RUNDLL
regt 14
regt 18
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту AV block remove.
После перезагрузки сделайте такой лог.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

150700 · 09.03.2021, 19:10

Прикрепил логи и на всякий случай добавил в архив лог АВ блок.

Vvvyg · 09.03.2021, 19:53

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-1865597223-2440661762-2441188866-1000\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-1865597223-2440661762-2441188866-1000\...\MountPoints2: {76f1107f-7b3c-11eb-aa97-bcee7b78054f} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
Task: {23A18684-B399-4805-AA1C-2A9BB4CD3FFD} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {41E2023A-246F-42C6-8011-B247DD1A10EB} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {A8A8F66F-5E64-4519-829A-00EBF74A0810} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {D9CA202B-FF1B-41CF-80DE-7CBE63EAB80B} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Task: {E1CB9CC7-2F72-40CF-BCF3-1596F671C5C1} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
2021-03-04 20:52 - 2021-03-09 17:48 - 000000000 ____D C:\Program Files\RDP Wrapper
Virustotal: C:\Program Files (x86)\Radmin VPN\Qt5Core.dll
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

150700 · 09.03.2021, 23:31

готово, прикрепил лог

Vvvyg · 10.03.2021, 00:31

Полагаю, проблема решена?

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

150700 · 10.03.2021, 16:55

Да спасибо огромное, не подскажите есть ли возможность вас поддержать? Раньше если не ошибаюсь, была такая возможность.

Vvvyg · 10.03.2021, 18:10

Можно добавить отзыв (весы под сообщением).

09.03.2021, 12:26	#2 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Даже если уже решили, как Вам кажется, проблему, всё равно выполните следующее, в системе множество блокировок, которые антивирусные утилиты автоматически не снимут. Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): Код: ;uVS v4.11.5 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 Program.RemoteAdmin.753 [DrWeb] 7 addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7 addsgn BA6F9BB2BD2D49720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 15 Win64/CoinMiner.ACV [ESET-NOD32] 7 addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Win32/CoinMiner.CEY [ESET-NOD32] 7 addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7 addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 16 NetTool.Win32.Portscan.ne [Kaspersky] 7 addsgn 9252775A1D6AC1CC0B84594E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Autoit.acbae [Kaspersky] 7 chklst delvir deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK deldir %SystemDrive%\PROGRAMDATA\SETUP deldir %SystemDrive%\PROGRAMDATA\WINDOWS deldir %SystemDrive%\PROGRAMDATA\RUNDLL regt 14 regt 18 deltmp delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL apply restart Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена. Компьютер перезагрузится. Скачайте, распакуйте и запустите утилиту AV block remove. После перезагрузки сделайте такой лог. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

06.03.2021, 20:39
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Очень часто в решении проблем помогает прочтение схожих топиков Подозрение на вирус. подозрение на вирус

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

10.03.2021, 00:31	#6 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Полагаю, проблема решена? Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится.

10.03.2021, 16:55	#7 (permalink)
150700 Member Регистрация: 29.10.2013 Сообщений: 54 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Да спасибо огромное, не подскажите есть ли возможность вас поддержать? Раньше если не ошибаюсь, была такая возможность.

10.03.2021, 18:10	#8 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Можно добавить отзыв (весы под сообщением).