Решена Запуск bat при включении и троян в powershell
- Автор темы Bassenge
- Дата начала
-
- Теги
- bat powershell троян
- Статус
Bassenge
Новый пользователь
- Сообщения
- 18
- Реакции
- 0
А он их и не удаляет(может только заблокировать угрозу или разрешить на устройстве)
- Сообщения
- 24,720
- Реакции
- 13,565
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
- Сообщения
- 15,481
- Реакции
- 3,288
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2703450913-1287664333-4225148928-1001\...\MountPoints2: {a4c17b99-9e52-11ee-9832-f818b6dadff4} - "F:\SISetup.exe" AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky Internet Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58} FirewallRules: [{D3573920-47D3-4DA5-A7D6-4B0E5B80864B}] => (Allow) LPort=80 FirewallRules: [{DF150D2C-F63F-4318-AB33-00C765F00F5A}] => (Allow) LPort=27015 FirewallRules: [{1F0D1AEF-9DAA-4D4C-90C3-5FB3C549D207}] => (Allow) LPort=3306 FirewallRules: [{6E28EA4A-C0DA-4C88-BE9E-82CA2A01D0A7}] => (Allow) LPort=33060 FirewallRules: [{3F5B6A50-6CA1-43CA-9679-9BB6A70BDD4B}] => (Allow) LPort=3306 FirewallRules: [{37B93942-E5C6-4AB7-B811-0427C9686AA9}] => (Allow) LPort=33060 cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*" cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*" StartPowershell: Set-MpPreference -DisableAutoExclusions $true -Force Set-MpPreference -Mapsreporting basic -Force Set-MpPreference -DisableRealtimeMonitoring $false -Force Set-MpPreference -DisablePrivacyMode $true -Force Set-MpPreference -DisableIOAVProtection $false -Force Set-MpPreference -UILockdown 0 Set-MpPreference -ScanPurgeItemsAfterDelay 1 Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force Set-MpPreference -PUAProtection enabled -Force Update-MpSignature Get-MpComputerStatus Get-MpPreference EndPowershell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Bassenge
Новый пользователь
- Сообщения
- 18
- Реакции
- 0
Всё гуд, также перезапустил и проверил(ничего нет).
- Сообщения
- 15,481
- Реакции
- 3,288
Отлично!
Обязательно проделайте завершающие шаги:
1. Деинсталлируйте Malwarebytes.
2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
3.
Обязательно проделайте завершающие шаги:
1. Деинсталлируйте Malwarebytes.
2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
3.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 15,481
- Реакции
- 3,288
Исправьте по возможности:
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9006 Внимание! Скачать обновления
Viber v.18.9.0.0 Внимание! Скачать обновления
ProtonVPN v.2.4.1 Внимание! Скачать обновления
µTorrent v.3.6.0.46922 Внимание! Клиент сети P2P с рекламным модулем!.
Spotify v.1.2.24.756.g7a7fc7f0 Внимание! Скачать обновления
Adobe Creative Cloud v.6.0.0.571 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.14 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Читайте Рекомендации после удаления вредоносного ПО
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9006 Внимание! Скачать обновления
Viber v.18.9.0.0 Внимание! Скачать обновления
ProtonVPN v.2.4.1 Внимание! Скачать обновления
µTorrent v.3.6.0.46922 Внимание! Клиент сети P2P с рекламным модулем!.
Spotify v.1.2.24.756.g7a7fc7f0 Внимание! Скачать обновления
Adobe Creative Cloud v.6.0.0.571 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.14 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Читайте Рекомендации после удаления вредоносного ПО
- Статус