Решена Папки Skypee в корне диска уже на другом компьютере

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Ещё один комп, заражённый trojan.autohit.12866 (по терминологии drweb).

Логи во вложении, просьба вылечить.

Запускал DrwebLiveUSB - но пришлось прервать сканирование и удаление сего товарища не было проведено полностью (название зловред взято из лога drweb'a)
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,991
Реакции
1,762
Баллы
503
Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Выполнено.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,991
Реакции
1,762
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-01-28 07:55 - 2019-01-30 16:55 - 000000000 _RSHD C:\Skypee
    Folder: C:\Google
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Выполнено. Лог во вложении.

Сам вручную удалил папку google в корне диска с: и папку skypee в корне диска d:

А далее будем смотреть, не появятся ли эти папки снова.
 

Вложения

  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
16,797
Реакции
13,200
Баллы
2,203
Тогда отпишитесь (если все хорошо) и я закрою тему.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,991
Реакции
1,762
Баллы
503
далее будем смотреть
Только прежде:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Благодарю всех - симптомов заражения больше не видно - можно закрывать тему.

Рекомендации после лечения выполню, только немногим позже...
 
  • Like
Реакции: akok
Сверху Снизу