Решена Папки Skypee в корне диска уже на другом компьютере

R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Ещё один комп, заражённый trojan.autohit.12866 (по терминологии drweb).

Логи во вложении, просьба вылечить.

Запускал DrwebLiveUSB - но пришлось прервать сканирование и удаление сего товарища не было проведено полностью (название зловред взято из лога drweb'a)
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,813
Реакции
1,732
Баллы
503
Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Выполнено.
 

Вложения

Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,813
Реакции
1,732
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-01-28 07:55 - 2019-01-30 16:55 - 000000000 _RSHD C:\Skypee
    Folder: C:\Google
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Выполнено. Лог во вложении.

Сам вручную удалил папку google в корне диска с: и папку skypee в корне диска d:

А далее будем смотреть, не появятся ли эти папки снова.
 

Вложения

  • Like
Реакции: akok
akok

akok

Команда форума
Администратор
Сообщения
16,510
Реакции
13,119
Баллы
2,203
Тогда отпишитесь (если все хорошо) и я закрою тему.
 
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,813
Реакции
1,732
Баллы
503
далее будем смотреть
Только прежде:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
R

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Благодарю всех - симптомов заражения больше не видно - можно закрывать тему.

Рекомендации после лечения выполню, только немногим позже...
 
  • Like
Реакции: akok
Сверху Снизу