Решена Помогите, пожалуйста, удалить Backdoor:Win32/Bladabindi!ml

[Oksana12210]

Здравствуйте! При установке приложения Photoshop компьютер подцепил вирус. Удалила все загруженные файлы. Другие антивирусы, кроме Microsoft Defender, вирус не видят. Проблему не удалось устранить. Помогите, пожалуйста, удалить.

 

[Sandor]

Здравствуйте!

Вы скачали и запустили Autologger очень устаревшей версии.
Удалите его вместе с созданной папкой. Скачайте актуальный и соберите новый архив CollectionLog. Инструкция здесь - Правила оформления запроса о помощи

 

[Sandor]

Предварительно деинсталлируйте прекративший поддержку Adobe Flash Player 10 ActiveX.

 

[Oksana12210]

Сделала

 

[Sandor]

1. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

+
Видны следы антивирусов Malwarebytes и Касперский.
Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

[Oksana12210]

Сделала

 

[Sandor]

Этот файл

C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs

вам известен?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {B65436A9-33F6-4A72-A09D-1594E015C942} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem123.0.6268.0{B0EA9BDB-9921-4659-A22F-3D7EA4032161} => C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-392651061-72546561-2407328161-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb]
  CHR HKU\S-1-5-21-392651061-72546561-2407328161-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  CHR HKLM-x32\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  S2 GoogleUpdaterInternalService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 GoogleUpdaterService123.0.6268.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6268.0\updater.exe [4638496 2024-01-27] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
  S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2024-01-30] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
  S3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [200104 2024-01-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  S3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239576 2024-01-30] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  2024-01-30 21:21 - 2024-01-30 21:24 - 000000000 ____D C:\Users\ok-se\AppData\Local\Malwarebytes
  2024-01-30 21:15 - 2024-01-31 19:54 - 000000000 ____D C:\ProgramData\Malwarebytes
  2024-01-30 21:09 - 2024-01-31 19:54 - 000000000 ____D C:\Program Files\Malwarebytes
  2024-01-30 13:47 - 2024-01-30 14:49 - 000000000 ____D C:\ProgramData\HitmanPro
  Folder: C:\WINDOWS\system32\Tasks\GoogleSystem
  2024-01-31 17:32 - 2022-06-22 23:12 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
  AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
  AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: ESET Security (Disabled - Up to date) {885D845F-AF19-0124-FECE-FFF49D00F440}
  AS: ESET Security (Enabled - Out of date) {333C65BB-8923-0EAA-C47E-C486E687BEFD}
  FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  FW: Dr.Web Firewall (Disabled) {1D375C5B-D804-AFA4-0FAF-4B365825953F}
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\ok-se\Application Data:iSpring Solutions [128]
  AlternateDataStreams: C:\Users\ok-se\AppData\Roaming:iSpring Solutions [128]
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Oksana12210]

C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs - неизвестен

 

[Sandor]

• Выделите следующий код:
  

  Start::
  HKLM-x32\...\RunOnce: [UnKSS2] => wscript.exe //b C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs [1682 2024-01-31] () [Файл не подписан] <==== ВНИМАНИЕ
  C:\Users\ok-se\AppData\Local\Temp\UnKSS2.vbs
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст новый лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Oksana12210]

Сделала

 

[Sandor]

Хорошо. Что сейчас с проблемой?

 

[Oksana12210]

Тоже самое

 

[Sandor]

Как видите, обнаружение произошло 27 января, т.е. четыре дня назад. То есть, это просто старые записи.
Попробуем их очистить.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Oksana12210]

Скопировала, запустила программу от имени администратора, нажала "исправить". После окончания работы программы компьютер перезапустился. В итоге такая картина (во вложении). Почему-то их стало вместо трех четыре.

 

[Sandor]

Срок хранения старых записей сейчас (после скрипта) сокращен до одного дня.
Посмотрите завтра и сообщите.

 

[Oksana12210]

Хорошо. Спасибо.

 

[Oksana12210]

Все восстановилось! Огромное спасибо!

 

[Sandor]

Отлично!

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Oksana12210]

Сделала