Решена Не удаляется Backdoor:MSIL/Bladabindi!atmn и Trojan:Win32/Dorv.A

[teenghost]

как только появились подобные угрозы установил malwarebytes и dr web. они поудаляли что-то, но оригинальный виндовс антивирус ругается на них до сих пор. Думаю, что баг системы, но в любом случае напрягает их наличие. Сам виндовс антивирус при выборе "Удалить" ничего не делает. Не удаляет эти файлы

 

[akok]

Правила оформления запроса о помощи - нужны логи

 

[teenghost]

правильно все сделал?

 

[Sandor]

Здравствуйте!

Да, правильно, спасибо.

Деинсталлируйте устаревшую версию

Java 8 Update 51 (64-bit)

Если понадобится, позже установите актуальную.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[teenghost]

сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  2023-10-30 18:13 - 2023-10-30 18:19 - 000000000 ____D C:\ProgramData\HitmanPro
  FirewallRules: [{4274B54C-16C7-4401-8D6E-3FBDFBDD171B}] => (Allow) LPort=1688
  FirewallRules: [{C2DCF093-C067-4BB0-849F-0671128B99CA}] => (Allow) LPort=1688
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[teenghost]

выполнил. антивирус до сих пор видит эти угрозы

 

[Sandor]

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[teenghost]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  2023-10-30 18:13 - 2023-10-30 18:19 - 000000000 ____D C:\ProgramData\HitmanPro
  FirewallRules: [{4274B54C-16C7-4401-8D6E-3FBDFBDD171B}] => (Allow) LPort=1688
  FirewallRules: [{C2DCF093-C067-4BB0-849F-0671128B99CA}] => (Allow) LPort=1688
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В моем браузере не закрылись вкладки и не произошел выход со всех аккаунтов. Я правильно все сделал? Я скопированный текст вставил и нажал кнопку "Исправить"

 

[Sandor]

Можно было не вставлять, скрипт выполнился из буфера обмена.
Пожалуйста, не цитируйте полностью сообщение, это ухудшает читаемость темы. Пишите в нижнем поле быстрого ответа.

Жду отчёт Malwarebytes.

 

[teenghost]

готово

 

[Sandor]

Хорошо, тут чисто.
Поясните - Защитник при нажатии "Удалить" что пишет?

 

[teenghost]

как я понял он ругается на два вируса, но они оба проспамлены. Если я выберу категорию удалить и нажму "запуск действий" как на втором скрине, то количество этих угроз не измениться. сам защитник ничего не пишет, а будто игнорирует выполнение выбранных действий

 

[Sandor]

Защитник реагирует на один и тот же файл или на разные? На скринах не видно пути к файлу.

 

[teenghost]

в сравнение могу показать пути двух разных троянов

 

[Sandor]

Вы OneDrive используете?

 

[teenghost]

нет

 

[Sandor]

"Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\StartupApproved\Run: [OneDrive] = C:\Users\strni\AppData\Local\Microsoft\OneDrive\OneDrive.exe /background (2022/09/11) (sign: 'Microsoft')
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] = C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'Local service') (sign: 'Microsoft')
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: OneDrive Reporting Task-S-1-5-21-3212509239-2970553567-1026178963-1001 - C:\Users\strni\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (sign: 'Microsoft')
O22 - Tasks_Migrated: OneDrive Reporting Task-S-1-5-21-3212509239-2970553567-1026178963-1001 - C:\Users\strni\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (sign: 'Microsoft')
O23 - Driver S1: WinSetupMon - C:\WINDOWS\system32\DRIVERS\WinSetupMon.sys (file missing)

Перезагрузите компьютер.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  StartBatch:
  WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
  WMIC SERVICE WHERE Name="nsi" set startmode="auto"
  WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
  WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
  WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
  WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
  WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
  WMIC SERVICE WHERE Name="vss" set startmode="manual"
  WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
  WMIC SERVICE WHERE Name="bfe" set startmode="auto"
  WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
  WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
  WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
  WMIC SERVICE WHERE Name="rasman" set startmode="manual"
  WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
  net start sdrsvc
  net start vss
  net start rpcss
  net start eventsystem
  net start winmgmt
  net start msiserver
  net start bfe
  net start trustedinstaller
  WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
  WMIC SERVICE WHERE Name="windefend" CALL startservice
  WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
  WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
  net start windefend
  net start mpssvc
  net start mpsdrv
  "%WINDIR%\SYSTEM32\lodctr.exe" /R
  "%WINDIR%\SysWOW64\lodctr.exe" /R
  "%WINDIR%\SYSTEM32\lodctr.exe" /R
  "%WINDIR%\SysWOW64\lodctr.exe" /R
  bitsadmin /list /allusers
  bitsadmin /reset /allusers
  Winmgmt /salvagerepository
  Winmgmt /resetrepository
  Winmgmt /resyncperf
  Endbatch:
  startpowershell:
  # 10-26-2022 M. Naggar
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
  Set-Service -Name windefend -StartupType Automatic -force
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Set-Service -Name securityhealthservice -StartupType manual -force
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
      Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
      Set-MpPreference -DisableArchiveScanning $false -Force
      Set-MpPreference -DisableBehaviorMonitoring $false -Force
      Set-MpPreference -DisableEmailScanning $False -Force
      Set-MpPreference -DisableIOAVProtection $false -Force
      Set-MpPreference -DisablePrivacyMode $true -Force
      Set-MpPreference -DisableRealtimeMonitoring $false -Force
      Set-MpPreference -MAPSReporting Advanced -Force
      Set-MpPreference -PUAProtection enabled -Force
      Set-MpPreference -SignatureScheduleDay Everyday -Force
      Set-MpPreference -DisableRemovableDriveScanning $false -Force
      Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  # Reset and check Secure Health status
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
  # Check if these services are running
  Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
  EndPowerShell:
  
  startpowershell:
      Write-Output "updating"
      Update-MpSignature
      Write-Output "scanning"
      Start-MpScan -ScanType QuickScan
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile\AppData\Roaming"
      Remove-MpThreat
  EndPowerShell:
  startpowershell:
  # Check computer status again after setting to make sure changes were applied
      Get-MpComputerStatus
      Get-MpPreference
      Get-MpThreatDetection
  # get statuses of services
  Get-Service BITS | Select-Object -Property Name, StartType, Status
  Get-Service Dhcp | Select-Object -Property Name, StartType, Status
  Get-Service EventLog | Select-Object -Property Name, StartType, Status
  Get-Service EventSystem | Select-Object -Property Name, StartType, Status
  Get-Service mbamservice | Select-Object -Property Name, StartType, Status
  Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
  Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
  Get-Service msiserver | Select-Object -Property Name, StartType, Status
  Get-Service nsi | Select-Object -Property Name, StartType, Status
  Get-Service RasMan | Select-Object -Property Name, StartType, Status
  Get-Service rpcss | Select-Object -Property Name, StartType, Status
  Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
  Get-Service sense | Select-Object -Property Name, StartType, Status
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
  Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
  Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
  Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
  Get-Service VSS | Select-Object -Property Name, StartType, Status
  Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
  Get-Service wscsvc | Select-Object -Property Name, StartType, Status
  Get-Service wuauserv | Select-Object -Property Name, StartType, Status
  New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
  New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
  EndPowerShell:
  
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания.

 

[teenghost]

проблема с обнаруженными угрозами не пропала

 

[Sandor]

Сообщите, пожалуйста, пуста ли "Корзина" и существует ли такой файл?

C:\Users\strni\AppData\Local\Temp\server.exe