Решена Помогите, пожалуйста, удалить Backdoor:Win32/Bladabindi!ml

Статус
В этой теме нельзя размещать новые ответы.

Oksana12210

Новый пользователь
Сообщения
13
Реакции
3
Здравствуйте! При установке приложения Photoshop компьютер подцепил вирус. Удалила все загруженные файлы. Другие антивирусы, кроме Microsoft Defender, вирус не видят. Проблему не удалось устранить. Помогите, пожалуйста, удалить.
 

Вложения

Здравствуйте!

Вы скачали и запустили Autologger очень устаревшей версии.
Удалите его вместе с созданной папкой. Скачайте актуальный и соберите новый архив CollectionLog. Инструкция здесь - Правила оформления запроса о помощи
 
Предварительно деинсталлируйте прекративший поддержку Adobe Flash Player 10 ActiveX.
 
1. Файл Check_Browser_Lnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Этот файл
C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs
вам известен?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {B65436A9-33F6-4A72-A09D-1594E015C942} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6268.0{B0EA9BDB-9921-4659-A22F-3D7EA4032161} => C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-392651061-72546561-2407328161-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb]
    CHR HKU\S-1-5-21-392651061-72546561-2407328161-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    S2 GoogleUpdaterInternalService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    S2 GoogleUpdaterService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
    S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2024-01-30] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
    S3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [200104 2024-01-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    S3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239576 2024-01-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    2024-01-30 21:21 - 2024-01-30 21:24 - 000000000 ____D C:\Users\ok-se\AppData\Local\Malwarebytes
    2024-01-30 21:15 - 2024-01-31 19:54 - 000000000 ____D C:\ProgramData\Malwarebytes
    2024-01-30 21:09 - 2024-01-31 19:54 - 000000000 ____D C:\Program Files\Malwarebytes
    2024-01-30 13:47 - 2024-01-30 14:49 - 000000000 ____D C:\ProgramData\HitmanPro
    Folder: C:\WINDOWS\system32\Tasks\GoogleSystem
    2024-01-31 17:32 - 2022-06-22 23:12 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
    AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
    AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: ESET Security (Disabled - Up to date) {885D845F-AF19-0124-FECE-FFF49D00F440}
    AS: ESET Security (Enabled - Out of date) {333C65BB-8923-0EAA-C47E-C486E687BEFD}
    FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FW: Dr.Web Firewall (Disabled) {1D375C5B-D804-AFA4-0FAF-4B365825953F}
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\ok-se\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\ok-se\AppData\Roaming:iSpring Solutions [128]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs - неизвестен
 

Вложения

  • Выделите следующий код:
    Код:
    Start::
    HKLM-x32\...\RunOnce: [UnKSS2] => wscript.exe //b C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs [1682 2024-01-31] () [Файл не подписан] <==== ВНИМАНИЕ
    C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст новый лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Хорошо. Что сейчас с проблемой?
 
Тоже самое
 

Вложения

  • 1.webp
    1.webp
    14.7 KB · Просмотры: 27
  • 2.webp
    2.webp
    23.9 KB · Просмотры: 38
Как видите, обнаружение произошло 27 января, т.е. четыре дня назад. То есть, это просто старые записи.
Попробуем их очистить.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    StartPowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -UILockdown 0
    Set-MpPreference -ScanPurgeItemsAfterDelay 1
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    EndPowershell:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Скопировала, запустила программу от имени администратора, нажала "исправить". После окончания работы программы компьютер перезапустился. В итоге такая картина (во вложении). Почему-то их стало вместо трех четыре.
 

Вложения

  • 1.webp
    1.webp
    37.5 KB · Просмотры: 29
  • Fixlog.txt
    Fixlog.txt
    10.9 KB · Просмотры: 1
Срок хранения старых записей сейчас (после скрипта) сокращен до одного дня.
Посмотрите завтра и сообщите.
 
Все восстановилось! Огромное спасибо!
 

Вложения

  • 1.webp
    1.webp
    17.6 KB · Просмотры: 31
Отлично!

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу