Решена Запуск bat при включении и троян в powershell
- Автор темы Bassenge
- Дата начала
-
- Теги
- bat powershell троян
- Статус
- Сообщения
- 15,481
- Реакции
- 3,288
- Сообщения
- 14,892
- Реакции
- 6,806
+
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
- Сообщения
- 15,481
- Реакции
- 3,288
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Файл CheckBrowserLnk.log
из папки
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Microsoft\DRM\GUKCmvOY3AIQe\GlobalDataP.bat', '');
QuarantineFile('c:\windows\syswow64\dllhost.exe', '');
DeleteSchedulerTask('Microsoft\Windows\GlobalDataP\RecoveryHosts');
DeleteFile('C:\ProgramData\Microsoft\DRM\GUKCmvOY3AIQe\GlobalDataP.bat', '64');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
- Сообщения
- 15,481
- Реакции
- 3,288
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,720
- Реакции
- 13,565
Обновления сами настраивали?
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM-x32\...\Run: [Adobe CCXProcess] => C:\Program Files (x86)\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe (Нет файла) HKU\S-1-5-21-2703450913-1287664333-4225148928-1001\...\Run: [CCleaner Smart Cleaning] => "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (Нет файла) IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe Task: {FCE2EF20-4008-42C7-8D32-569F4B22B532} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла) Task: {603A3729-D9AD-442C-95C6-21973624B2ED} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Нет файла) Task: {1B78ACB3-5F6D-432E-9E7F-D82CE51C2E70} - System32\Tasks\Microsoft\Windows\GlobalDataP\RecoveryHosts => C:\ProgramData\Microsoft\DRM\GUKCmvOY3AIQe\GlobalDataP.bat (Нет файла) <==== ВНИМАНИЕ Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Нет файла) Task: {53E8D0E1-31D2-465A-B116-DCC37FB3AABA} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Нет файла) Task: {541AF5AE-E3C6-409A-8DA6-A55B67348CE3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Нет файла) Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) CHR HKU\S-1-5-21-2703450913-1287664333-4225148928-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] S3 CCleanerPerformanceOptimizerService; "C:\Program Files\CCleaner\CCleanerPerformanceOptimizerService.exe" [X] File: C:\WINDOWS\SysWOW64\wfs.exe; C:\WINDOWS\SysWOW64\WFSR.dll AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9446] AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 15,481
- Реакции
- 3,288
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
- Сообщения
- 24,720
- Реакции
- 13,565
А файл физически присутствует?
Bassenge
Новый пользователь
- Сообщения
- 18
- Реакции
- 0
Не понятно где находиться(и что).Скинул выше что детектит дефендер.
Bassenge
Новый пользователь
- Сообщения
- 18
- Реакции
- 0
Путь не полный(не понимаю на каком диске лежит).Также копировал имя и по поиску искал(на д и с) ничего не нашёл.
- Сообщения
- 24,720
- Реакции
- 13,565
Сделаем проще, ищите файл $sxr-powershell.exe по инструкции
www.safezone.cc
Поиск файлов при помощи Farbar Recovery Scan Tool
Скачайте (если вы не сделали этого раньше) Farbar Recovery Scan Tool и сохраните на Рабочем столе. Запустите FRST и в поле Поиск введите запрос, который предоставил консультант и нажмите на кнопку "Поиск файлов" Начнется процесс поиска в результате которого будет создан в файл Search.txt (в...
Bassenge
Новый пользователь
- Сообщения
- 18
- Реакции
- 0
Благодарю, сейчас попробую.Сделаем проще, ищите файл $sxr-powershell.exe по инструкции
Поиск файлов при помощи Farbar Recovery Scan Tool
Скачайте (если вы не сделали этого раньше) Farbar Recovery Scan Tool и сохраните на Рабочем столе. Запустите FRST и в поле Поиск введите запрос, который предоставил консультант и нажмите на кнопку "Поиск файлов" Начнется процесс поиска в результате которого будет создан в файл Search.txt (в...
- Статус