Решена BehavesLike.Win64.Dropper.wc(стиллер ПОМОГИТЕ ПОЖАЛУЙСТА)

[K1ng_1000_7]

Поймал стиллер, немогу даже курейт или авз скачать, пробовал заходить в локалхостс сразу закрывается.ПОМОГИТЕ ПОЖАЛУЙСТА

 

[akok]

Правила оформления запроса о помощи - по этой ссылке, есть доступ к утилитам?

 

[K1ng_1000_7]

.

 

[K1ng_1000_7]

вот открывал сборщик логов(вылазит ошибка)

 

[K1ng_1000_7]

вирус сам закрывает AVZ

 

[thyrex]

А если запускать не из папки Загрузки?

 

[K1ng_1000_7]

кинул авз в папку музыка, открываю проходит секунда и он закрывается

 

[thyrex]

Пробуйте запустить в безопасном режиме загрузки

 

[K1ng_1000_7]

в безопасном режиме вирусы же можно обнаружить?
и как его включить правильно
Windows 10

 

[K1ng_1000_7]

Правильно все делаю?

 

[K1ng_1000_7]

Пробуйте запустить в безопасном режиме загрузки

Правильно все делаю?

 

[thyrex]

Вы запустили Автосборщик?

 

[K1ng_1000_7]

Вылазит вот это при запуске автосборщика

 

[K1ng_1000_7]

Вот что еще нашел

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[K1ng_1000_7]

вот логи

 

[K1ng_1000_7]

запускал скан в безопасном режиме, тк вирус закрывал его в обычном режиме

 

[thyrex]

Вылазит вот это при запуске автосборщика

не верю, что картинка из безопасного режима.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {2c6fe23a-ac0d-11eb-8175-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {5c95dba6-1aaa-11eb-813d-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {7651cc6f-0793-11ed-81cd-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {7651ccb6-0793-11ed-81cd-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {b130460e-762c-11ec-81b3-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {b13046cd-762c-11ec-81b3-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe" 
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {14E47644-B03D-49DA-A9C7-8A3FFBE23F96} - System32\Tasks\ElementsBrowser Update => C:\Users\EVGEN\AppData\Local\Elements Browser\Application\elementsbrowserupdate.exe  (Нет файла)
Task: {21CF9C79-4348-4D0A-B496-430F12C5AD72} - System32\Tasks\Ghostery Update Task-S-1-5-21-2435700050-1552323571-92776328-1007 => C:\WINDOWS\System32\msiexec.exe [103936 2022-11-11] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\EVGEN\AppData\Local\Programs\Ghostery\5b029f891c.msi" /quiet CHROME=1
Task: {D999B536-59EA-47E7-AB86-CC1619808BA5} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {0F741437-3EC4-4820-B347-38650A623405} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe  (Нет файла)
C:\Users\EVGEN\AppData\Local\Programs\Ghostery\5b029f891c.msi
Task: {553BBA94-C9F6-45AF-B9CA-4C968178A7B3} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {37A106FF-83E2-44F1-9C28-4EB057CFCD00} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe [20718096 2022-12-14] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {F6A10351-80EA-4A58-AFF6-369556AF7B81} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {FECA8C61-FB90-47AF-BAC7-8BD5B86E6FD5} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe [20718096 2022-12-14] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {EE60D780-6FDB-41FC-80EE-52A2963D5C63} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {DE45982B-802C-45E0-A1B9-7DD4B8C10CC0} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {D13EB8C6-EC1D-4B22-AB58-EBAEC624A672} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {47D66EBF-5B05-477E-A3A5-4DD1CA86CB63} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.3.0.2430\service_update.exe  --repair (Нет файла)
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые файлы FRST.txt и Addition.txt, затем соберите новые в обычном режиме загрузки.

 

[K1ng_1000_7]

не верю, что картинка из безопасного режима.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {2c6fe23a-ac0d-11eb-8175-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {5c95dba6-1aaa-11eb-813d-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {7651cc6f-0793-11ed-81cd-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {7651ccb6-0793-11ed-81cd-4ccc6a2b6cbd} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {b130460e-762c-11ec-81b3-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2435700050-1552323571-92776328-1007\...\MountPoints2: {b13046cd-762c-11ec-81b3-4ccc6a2b6cbd} - "E:\HiSuiteDownLoader.exe"
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {14E47644-B03D-49DA-A9C7-8A3FFBE23F96} - System32\Tasks\ElementsBrowser Update => C:\Users\EVGEN\AppData\Local\Elements Browser\Application\elementsbrowserupdate.exe  (Нет файла)
Task: {21CF9C79-4348-4D0A-B496-430F12C5AD72} - System32\Tasks\Ghostery Update Task-S-1-5-21-2435700050-1552323571-92776328-1007 => C:\WINDOWS\System32\msiexec.exe [103936 2022-11-11] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\EVGEN\AppData\Local\Programs\Ghostery\5b029f891c.msi" /quiet CHROME=1
Task: {D999B536-59EA-47E7-AB86-CC1619808BA5} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {0F741437-3EC4-4820-B347-38650A623405} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe  (Нет файла)
C:\Users\EVGEN\AppData\Local\Programs\Ghostery\5b029f891c.msi
Task: {553BBA94-C9F6-45AF-B9CA-4C968178A7B3} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {37A106FF-83E2-44F1-9C28-4EB057CFCD00} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe [20718096 2022-12-14] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {F6A10351-80EA-4A58-AFF6-369556AF7B81} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe [27323408 2022-12-14] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {FECA8C61-FB90-47AF-BAC7-8BD5B86E6FD5} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe [20718096 2022-12-14] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {EE60D780-6FDB-41FC-80EE-52A2963D5C63} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {DE45982B-802C-45E0-A1B9-7DD4B8C10CC0} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {D13EB8C6-EC1D-4B22-AB58-EBAEC624A672} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {47D66EBF-5B05-477E-A3A5-4DD1CA86CB63} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.3.0.2430\service_update.exe  --repair (Нет файла)
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы удалите старые файлы FRST.txt и Addition.txt, затем соберите новые в обычном режиме загрузки.

такая картинка вылазило в обычном и безопасном режиме(пишет что версия несовместима с версией виндовс)

 

[thyrex]

Меньше слов - больше дела. Ждем результаты выполнения написанного для лечения.