В работе ПК ЗАРАЖЕН нужен хелп

[PlutoN]

Здравствуйте нужна помощь. Чувствую сейчас вы офигеете что мой пк еще жив. недавно с него 40 троянов др веб вынал, итак к сути: ЦП летатет в 100% до открытия д.з., Пинг. постоянный блок URL (dr.web).. Иии невозможность обновления винды

 

[Severnyj]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 QuarantineFile('C:\Program Files (x86)\wHemEQQzU\NWgByX.dll', '');
 QuarantineFile('C:\Users\KO\AppData\Local\Programs\3729cb\9b5eb96eeb.msi', '');
 DeleteFile('C:\Program Files (x86)\NinjaBrowser\NinjaBrowser\Application\137.0.6613.124\elevation_service.exe', '64');
 DeleteFile('C:\Program Files (x86)\NinjaBrowser\NinjaBrowser\Application\137.0.6613.124\eventlog_provider.dll', '64');
 DeleteFile('C:\Program Files (x86)\NinjaBrowser\NinjaBrowser\Application\NinjaBrowser.exe', '64');
 DeleteFile('C:\Users\KO\AppData\Local\Programs\3729cb\9b5eb96eeb.msi', '64');
 DeleteFile('C:\Program Files (x86)\WyyHRJJOUCclC\vfOYlWb.dll', '64');
 DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\SNXWvguBYygXI.dll', '64');
 DeleteFile('C:\Program Files (x86)\wHemEQQzU\NWgByX.dll', '64');
 DeleteFile('C:\ProgramData\pierce-sail\bin.exe', '64');
 DeleteFile('C:\Program Files (x86)\usdULSFCtWzOBasFesR\iOvWVlZ.dll', '64');
 DeleteService('ChromiumElevationService');
 DeleteSchedulerTask('chat-saver-S-1-5-21-2663235146-1921599251-30963202-1001');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('FQNzQgsDZdglobCyiTm2');
 DeleteSchedulerTask('kIcTmBftZcXrpb');
 DeleteSchedulerTask('MAnrEVOPXhcbgmY2');
 DeleteSchedulerTask('secure-waistcoat');
 DeleteSchedulerTask('tmTytgrOditDEYEwM2');
 DeleteSchedulerTask('WzxCjfYPoGKxm2');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = hxxps://vvv.ya.ru/?win=650&clid=2323969-673
O4 - HKCU\..\Run: [AMDNoiseSuppression] = C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe (file missing)
O4 - HKLM\..\Session Manager: [BootExecute] = (no file)
O4 - HKU\S-1-5-18\..\Run: [AMDNoiseSuppression] = C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe (file missing) (User 'LocalSystem')
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A7B60AA-BA42-409F-BC97-7BCFEFAD6308} - \Microsoft\Windows\LanguageComponentsInstaller\Installation (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{80436C26-BC19-4930-9051-F06F0E0BA960} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{80436C26-BC19-4930-9051-F06F0E0BA960} - \Microsoft\Windows\Management\Provisioning\Logon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A499FA48-7057-4AC1-9702-44C6FD924058} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A499FA48-7057-4AC1-9702-44C6FD924058} - \Microsoft\Windows\LanguageComponentsInstaller\ReconcileLanguageResources (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E38739C8-A84F-4F9B-8913-DCA75BC35C79} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E38739C8-A84F-4F9B-8913-DCA75BC35C79} - \Microsoft\Windows\Management\Provisioning\Cellular (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F472261A-A57A-465B-A695-5F2E75E37782} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F472261A-A57A-465B-A695-5F2E75E37782} - \Microsoft\Windows\ApplicationData\DsSvcCleanup (no xml)
O22 - Tasks: (damaged) EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) secure-waistcoat - C:\ProgramData\pierce-sail\bin.exe /H (file missing) (user missing)
O22 - Tasks: (damaged) StartAUEP - C:\Program Files\AMD\Performance Profile Client\AUEPMaster.exe (user missing) (sign: 'Advanced Micro Devices')
O22 - Tasks: chat-saver-S-1-5-21-2663235146-1921599251-30963202-1001 - C:\Windows\System32\msiexec.exe /i "C:\Users\KO\AppData\Local\Programs\3729cb\9b5eb96eeb.msi" /quiet YIPRWHU=1 (sign: 'Microsoft')
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: FQNzQgsDZdglobCyiTm2 - C:\Windows\system32\cmd.exe /C if exist "C:\Program Files (x86)\WyyHRJJOUCclC\vfOYlWb.dll" rundll32 "C:\Program Files (x86)\WyyHRJJOUCclC\vfOYlWb.dll",#1 (sign: 'Microsoft')
O22 - Tasks: kIcTmBftZcXrpb - C:\Windows\system32\cmd.exe /C if exist "C:\Program Files (x86)\rHPotDbdxQEU2\SNXWvguBYygXI.dll" rundll32 "C:\Program Files (x86)\rHPotDbdxQEU2\SNXWvguBYygXI.dll",#1 (sign: 'Microsoft')
O22 - Tasks: MAnrEVOPXhcbgmY2 - C:\Windows\system32\cmd.exe /C if exist "C:\Program Files (x86)\wHemEQQzU\NWgByX.dll" rundll32 "C:\Program Files (x86)\wHemEQQzU\NWgByX.dll",#1 (sign: 'Microsoft')
O22 - Tasks: secure-waistcoat - C:\ProgramData\pierce-sail\bin.exe /H (file missing)
O22 - Tasks: tmTytgrOditDEYEwM2 - C:\Windows\system32\cmd.exe /C if exist "C:\Program Files (x86)\usdULSFCtWzOBasFesR\iOvWVlZ.dll" rundll32 "C:\Program Files (x86)\usdULSFCtWzOBasFesR\iOvWVlZ.dll",#1 (sign: 'Microsoft')
O22 - Tasks: WzxCjfYPoGKxm2 - C:\Windows\system32\forfiles.exe /p C:\Windows\system32 /m wscript.exe /c "cmd /C if exist ^"C:\ProgramData\aikZcKHWDyyBLoVB\RWGmBQi.wsf^" @FNAME ^"C:\ProgramData\aikZcKHWDyyBLoVB\RWGmBQi.wsf^"" (sign: 'Microsoft')
O23 - Service S3: Chromium Elevation Service (ChromiumElevationService) - (ChromiumElevationService) - C:\Program Files (x86)\NinjaBrowser\NinjaBrowser\Application\137.0.6613.124\elevation_service.exe (file missing)
O23 - Service S3: FACEITService - C:\Program Files\FACEIT AC\faceitservice.exe (file missing)
O23 - Service S3: OpenSSH SSH Server - (sshd) - C:\Windows\System32\OpenSSH\sshd.exe (file missing)
O23 - Driver S1: FACEIT - C:\Program Files\FACEIT AC\FACEIT_AC.sys (file missing)
O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-2663235146-1921599251-30963202-1004 [ProfileImagePath] = C:\Users\DevToolsUser (folder missing)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.