Решена Поймал троян не могу никак удалить

Переводчик Google
NeFt9_n1k

NeFt9_n1k

Новый пользователь
Сообщения
9
Реакции
1
Помогите пожайлуста, точно знаю что троян есть! Засканил его а удалить не могу никак.
 
Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 QuarantineFile('C:\ProgramData\Microsoft\Search\setup.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Search\setup.exe', '64');
 DeleteService('HSUURMZV');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!


Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations] = C:\Windows\TEMP\cb21287db4b311f08f7c8c870b6009af.tmp -> DELETE
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{658B15EB-DC2D-482A-8FE4-AB09CD9B06BD} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{658B15EB-DC2D-482A-8FE4-AB09CD9B06BD} - \dialersvc64 (no xml)
O26 - Office Addin: HKLM\..\AccessAddin.DC - (Microsoft Access Outlook Add-in for Data Collection and Publishing) -> (no file)

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
 
а можно ссылку на скачивание AVZ

извините нашел где он

Результат загрузки:​

NeFt9_n1k, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2025.10.29_quarantine_2b1c3027a6742cb93f7135e2a0ad5bd4.zip

готово
 

Вложения

Последнее редактирование:
Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
  • Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
  • После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
  • Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
  • По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
  • Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

+++ после этого:

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
S2 HitmanPro38CrusaderBoot; "C:\Users\DZ\AppData\Local\Temp\scoped_dir10024_398579015\HitmanPro_x64.exe" /crusader:boot [X] <==== ВНИМАНИЕ
AlternateDataStreams: C:\Windows\System32:sguard [36]
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\DZ\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\DZ\Downloads\adwcleaner.exe:MBAM.Zone.Identifier [293]
AlternateDataStreams: C:\Users\DZ\Downloads\MBSetup (3).exe:MBAM.Zone.Identifier [297]
AlternateDataStreams: C:\Users\DZ\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
  • Like
Реакции: akok
что с проблемой?
 
большинство удалили, их там штук 7 было, но вот этот остался
 

Вложения

  • Без імені.webp
    Без імені.webp
    18.9 KB · Просмотры: 11
Если нажать карантин - восстанавливается?
 
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Обновите ПО:

CPUID CPU-Z MSI 2.06 v.2.06 Внимание! Скачать обновления
AIDA64 Extreme v6.92 v.6.92 Внимание! Скачать обновления
AnyDesk v.ad 9.0.7 Внимание! Скачать обновления
WinRAR 6.24 (64-бітна) v.6.24.0 Внимание! Скачать обновления
Viber v.24.8.1.0 Внимание! Скачать обновления
Discord v.1.0.9175 Внимание! Скачать обновления
Telegram Desktop v.5.13.1 Внимание! Скачать обновления
Windscribe v.2.10.16 Внимание! Скачать обновления
Opera Stable 122.0.5643.142 v.122.0.5643.142 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

+++

Severnyj

Тема 'Рекомендации после удаления вредоносного ПО'

  1. Удалите инструменты, которые были использованы во время лечения:​

  2. Создайте новую точку восстановления и удалите старые точки.​

    1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    2. Нажмите Пуск - Программы – Стандартные –...
  • Like
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу