Решена Backdoor:Win32/Bladabindi!ml прошу помочь в удалении

Статус
В этой теме нельзя размещать новые ответы.
V

Virt

Новый пользователь
Сообщения
10
Реакции
1
Поймал вирус Backdoor:Win32/Bladabindi!ml прошу помочь в удалении защитник виндовс только его находит, но удалить не может, поставил касперский фри, его он не видит вообще
 
логи FRST64
 

Вложения

  • Addition.txt
    45.6 KB · Просмотры: 2
  • FRST.txt
    33.8 KB · Просмотры: 2
логи от автологера
 

Вложения

  • CollectionLog-2023.12.18-23.00.zip
    97.6 KB · Просмотры: 5
Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 19.12.2023
Время проверки: 00:20
Файл журнала: bb0037b0-9dc9-11ee-94f1-00d861e1cc7a.json

-Информация о ПО-
Версия: 4.6.6.294
Версия компонентов: 1.0.2189
Версия пакета обновления: 1.0.78564
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 10 (Build 19045.3803)
Процессор: x64
Файловая система: NTFS
Пользователь: Komp\lynxp

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 223385
Обнаружено угроз: 12
Помещено в карантин: 0
Затраченное время: 0 мин, 40 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
Потенциально нежелательная программа: Обнаружение
Потенциально нежелательное изменение (PUM): Обнаружение

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 0
(Вредоносные программы не обнаружены)

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 2
PUP.Optional.PushNotifications.Generic, C:\USERS\LYNXP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Проигнорировано пользователем, 9499, 1094562, , , , , ,
PUP.Optional.PushNotifications.Generic, C:\USERS\LYNXP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Проигнорировано пользователем, 9499, 1094562, , , , , ,

Файл: 10
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000385.ldb, Проигнорировано пользователем, 9499, 1094562, , , , , 9CB065213F6922617E941405A95547BF, 0D4962270EA8E813CC2CDF730DD3C467C7DCAA710DFE83B43A86FADB96F987EB
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000387.log, Проигнорировано пользователем, 9499, 1094562, , , , , 3DD9C312E8DEF09FE13CC0AE54732768, B6FAE207EFF7B960B0373C2EC32D8DAAD93580CA2AE2B102F97589AE0E32CEE1
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000388.ldb, Проигнорировано пользователем, 9499, 1094562, , , , , C44D0B3917BA91FF8EC490B8C6B27A20, 041A06D2C053E9B1E9654BAD35BE412B150BC5473B94D531A4BC675D3280BA29
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Проигнорировано пользователем, 9499, 1094562, , , , , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Проигнорировано пользователем, 9499, 1094562, , , , , ,
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Проигнорировано пользователем, 9499, 1094562, , , , , 4AD01ABE6F141CC91BEB0D694439CE77, AEC4D4A45789221DD5DB415A20298E15F453CF07A5CB84D03D1C1FB759FFD644
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Проигнорировано пользователем, 9499, 1094562, , , , , 778CA4E1D1CD7383E24ED7FAD4FDF220, 208DC301530ED7B90A6E8428371DDB104D526CF07DA76DB16AF73B931DBE9E6D
PUP.Optional.PushNotifications.Generic, C:\Users\lynxp\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Проигнорировано пользователем, 9499, 1094562, , , , , B73205AE2049E000B0F999FBE923919A, 7CB6293E53C670C9FD2F23CF00ACC57C3FD775541D9F4F8B0BBCDE31EE560D0F
PUP.Optional.PushNotifications.Generic, C:\USERS\LYNXP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, 9499, 1094562, 1.0.78564, , ame, , C9AC0BD0A49FEAB19978E5E19FB84072, 1EE95B42E493ADD8DD551BE195B56B80A9B769E8BBE8884D9143F44EB007945E
PUP.Optional.PushNotifications.Generic, C:\USERS\LYNXP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, 9499, 1094562, 1.0.78564, , ame, , C9AC0BD0A49FEAB19978E5E19FB84072, 1EE95B42E493ADD8DD551BE195B56B80A9B769E8BBE8884D9143F44EB007945E

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)


(end)
проверил еще малварем, на случай если понабиться
 
Здравствуйте!

Всё найденное Malwarebytes можно удалить (поместить в карантин).

Диск F: - это флешка?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
FirewallRules: [{84E8B069-4C9D-4094-8D85-543A2741A09D}] => (Allow) LPort=1688
FirewallRules: [{131A246B-979A-4D3E-9808-D22B03D66A0B}] => (Allow) LPort=32682
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Диск F: был виртуальным приводом от алкоголя 120. Подозреваю, что схватил вирус когда смонтировал на него iso образ, после чего получил оповещение от дефендера, я образ размонтировал, удалил и алкоголь тоже удалил
Лог прикрепляю
 

Вложения

  • Fixlog.txt
    21.9 KB · Просмотры: 1
Понятно. Что сейчас с проблемой?
 
1702995489845.png
 
1702995516120.png
Все равно находит к сожалению.
 
Период очистки старых обнаружений сейчас выставлен 1 день. Проверите что будет завтра и сообщите результат.
 
1702996415276.png
Проверил еще раз. Проблем нет, большое спасибо за помощь!
 
Вот и отлично!
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Шаги выполнил, лог прикрепляю (дополнительно возможно это важно: при запуске утилиты выдало сообщение о невозможности подключения к интернету)
 

Вложения

  • SecurityCheck.txt
    5.5 KB · Просмотры: 2
Хорошо, еще раз спасибо большое за помощь!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу